Neden herkes, phpbbyi güvenliği düşük buluyor?

phpBB güvenliği.

Neden herkes, phpbbyi güvenliği düşük buluyor?

İleti yaso19 11.08.2006, 00:46

arkadaşlar başlığım ters kaçmış olabilir. anlatmak istediğim şu:
kime sorsam neye sorsam kısacası hackle ilgilenen kime sorsam; phpbb hack kolay iş ya diyo :? adamlar bana 1 ay önce bi tane çökerttikleri siteyi gösterdiler, site phpbb 2.0.21 di. nasıl yaptınız dedim shell bastık diyo fakat ek olarak şunu da söylüyolar: phpbb de shell basmak kolay oluyo nedense, yani atıyorum vbulletin bizi 5 gün uğraştıroyorsa, phpbb bizi en fazla 2 gün uğraştırır diyolar :? ama kime sorsam böyle ve buna benzer şeyler söylüyor.. (sorduğum kişiler lamer değil, kendileri ii programcı ve bilinmeyen açıkları bulabilirler) neyse iş fazla o tarafa kaçmasın, asıl sorumuza gelelim ve herkes böyle söylüyor.. neden phpbb çok basit hackerlar yönünden? özelikle bugünlerde çok duymaya başladım bunu iyice kafamı kurcalamaya başladı.öyle bi duruma geldi ki bu; ara sıra kendi siteme bile saldırı yapıyorum, localhostta kurulu foruma saldırı yapıyorum, bişeylr yapyıorum işte amaç sınamak :) umarım derdimi anlatabilmiş ve konuyu başka yerlere çekmemişimdir. İyi, sağlam açıklamalar gelirse sevinirim.
Lütfen konu kitlenmesin ya da silinmesin, çünkü eminimki bi çok arkadaşın bu konuda soruları,düşünceleri ve korkuları vardır..
Kusurum olduysa affola ama bunların konuşulması, açıklık getirlmesini düşündüğüm için konuyu açtım...
Kullanıcı avatarı
yaso19
Üye
Üye
 
İleti: 531
Kayıt: 05.02.2006, 01:01
Konum: İzmir

İleti sabri ünal 11.08.2006, 11:32

bir kaç cevap verebilirim... bu güne kadar phpBB hep salt çekirdek olarak algılanmıştı... oysa bugünden sonra phpbb cback ctracker ve phpbb security 1.0.2 ile birlikte düşünülmeli...

eğer yaptıkları şey bu şekildeki sistemlerden geçiyorsa o kod phpbb yi infect ediyor sayılır... bu açıdan, biz böyle kabul ediyoruz...

phpBB çekirdeği yazılalı çok oldu... o günkü yazılış amacı da basit, sade, ücretsiz bir sistem olmak, o kod çekirdeği ve mantığı korunmaya çalışılıyor... phpBB de kod yazan kişiler uzman kod yazarı değil... yani çoğu kişi işinden artan vakitlerde bu işi yapıyor... çünkü programcı için, oturur ve yazar, 6 ay sonra bu iş bitmiştir der... phpbb ise öyle değil, senelerce uğraşmak gerekiyor ki bunu, işi programcılıktan ekmek kazanmak olanlar yapamıyor...

sonuç olarak, phpbb'nin kod okunurluğu SMF den daha basit / açtım baktım / diğerleriyle karşılaştırmadım... her şey yerli yerinde ve ben hatalıysam hatalıyım diyor... arayın bakalım kodlar size ne diyor
Mutluyum, biraz komedi takılıyorum! sakın kızmayın yakında geçer, sebebini ben de bilmiyorum! yeni bir aşk da bulmuş değilim!
Kullanıcı avatarı
sabri ünal
Üye
Üye
 
İleti: 1325
Kayıt: 27.10.2005, 15:49
Konum: İstanbul

İleti yaso19 11.08.2006, 12:09

tabi haklısın aslında.. aslında bunları bende biliyorum ama peki senelerdir bu işi yapıyorlarsa, bu zmana kadar hala profesyonel olamadılarmı? çünkü ilk çıkalıdan beri yaklaşık 5 sene geçmiş bildiğim kadarıyla.. yani ben kendi scriptimle 5 snee uğraşsam; herhalde dünyanın en iyi bi işini yaparım herhalde.. diğer dediğine gelince. evet haklısın bi arkadaşım bana FTP şifresini vermişti, zorla SMF yi kurdurtmuştu.. hiç bilmediğim, nasıl kurulur falan diye okumadığım bi sistemi kurmayı başarabildim fakat kurasıya kadar biraz zorlandım tabii. özellikle dosyaları çok karışık gerçekten. hele tema klasörleri yokmu, adeta şaşkına döndüm :) o konuda sana katılıyorum, kod yazımı bakımından hala basitliğini kolaylığını,basitliğini koruyor phpbb. fakat bi gerçek varki nette yapılan oylamalarda, insanların düşüncelerinde şu düşünce de var: SMF şuan bilinen scriptler içersinden en güvenli yazılımlardan biridir.. adamlar SMF diyo başka bişey demiyo :S SMF yi hacklenemez bi sistem gibi görüyo hack siteleri mesela. hemde o da ücretsiz bi sistem olmasına rağmen.. he diceksiniz belki, ya kardeşim madem korkuyorsun, şüphelerin var, geç o zmn başka bi paralı bi scripte, başın ağrımasın. yok geçmem. çünkü vbulletinde kullandım localde, bedava sitelerde.. ama şunu gördüm, phpbb olmasaydı ben şuan 8 ay öncesinde olduğu gibi HTML in yarısını belki anca bilen, php nin p sinden anlamayan biriydim hala. fakat şimdi görüyorumki bunun sayesinde kendimi 4e 5 e katlamışım :)
bide şu phpbbye kendim çok güvenli bi mod yazmayı becerebilsem... çünkü ben ctrack ve security ye güvenmiyorum ve bence düzgün bi mod da değilller. securtiy kuruyorum, cache ile ilgili sorun veriyor, beni hatırla özelliği kulanılamıyor. ctrack kuruyorum login sorunları falan çıkıyor (gerçi @ALEXIS sağolsun bu sorun kaldırılmıştı).
onun için çok sağlam ve sorunsuz bi mod yazılması gerektiğini düşünüyorum, fakat keşke o kadar bilgim olsa... neyse konu başka yerlere dağılmasın. eğer başka düşünceleri olan arkadaşlar varsa onlardan da yorum alabiliriz...
Kullanıcı avatarı
yaso19
Üye
Üye
 
İleti: 531
Kayıt: 05.02.2006, 01:01
Konum: İzmir

İleti sabri ünal 11.08.2006, 13:18

ben, senin bahsettiğin iki modu birlikte de kullandım... senin ayarlarında çalışmıyor diye hiç bir mod güvensiz olmaz...

dediğim gibi, kodlar ilk gün yazıldığı gibi duruyor, sadece fixler yayınlanıyor, diğer emekler mod geliştirmeye ve yeni sürümü oluşturmaya harcanıyor ki bence de mantıklı... sonuçta ortada taş çatlasa 7 geliştirici var... onlar da iş bölümü, tema, tasarım, ıvır zıvır... kod işleri tek kişinin elinde :)

bu arada acaba hiç phpBB 3 kurdun mu!
Mutluyum, biraz komedi takılıyorum! sakın kızmayın yakında geçer, sebebini ben de bilmiyorum! yeni bir aşk da bulmuş değilim!
Kullanıcı avatarı
sabri ünal
Üye
Üye
 
İleti: 1325
Kayıt: 27.10.2005, 15:49
Konum: İstanbul

İleti yaso19 11.08.2006, 13:32

gerçekten 7 kişi mi? phpbb nin sitesinde dolaşıyorum ve biçok mod team inden adam görüyorum. peki bu adamlar sadece mod mu yazar. hiç gelişmesine yardım etmezlermi temel olarak! ve gerçekten phpbb nin tümü ile alakası olan tek kişi mi? tek kişiyse söylencek bi laf kalmadı desene :) ayrıca kendim sapsade bi phpbbye kurarak da denedim o security yi ve yine aynı hatayı verdi ve phpbb de ara ara çıkan XSS açıklrı yzünden cache korumasını iptal etmek istemediğimden böyle oldu. ve en azından 10 kere kurmuşumdur security yi. bana pek kullanışlı gelmedi açıkçası. yani kullanıcılar beni hatırlayı seçemiceklerse artık yuh bize :)
diğer dediğine gelince evet kurdum ve şuan sitemde de alt alan adı olarak kurulu. evet baya iyi bi script. hatta çıktığında belki vbulletin falan diye bişey kalmıcak ortada :) çünkü onlardan hiçbi farkı kalmamış nerdeyse.. fakat şimidlik phpbb2 kullandığımıza göre bunları düşünmeliyiz bence ki phpbb3 ün şimdiden baya bi açığının bulunduğu kanaatindeyim. en azından final sürümü çıksa bile ben ilk 3 ay falan kurmayı düşünmüyorum. geçenlerde bi açığını buldum phpbb3 ün, phpbb de security reporta ilettim ama dikkate almadılar galiba bilmiyorum hiç cvp falan gelmedi. ayrıca phpbb3 tede soracağım bi çok soru var, mesela MODX in geçerli bi yerini görmedim ben phpbb3 te. çünkü xml yükliyebileceğimiz hiçbiyer yoktu :? yani phpbb3 te demi bu modlarla uğraşıcaz ? artık modern olma zamanı gelmedi mi :) artık bu after add ler baya bi can sıkmaya başladı :) neyse neyse konuyu yine dağıttım,konu dağıtmakta 1 numarayım galiba :)
Kullanıcı avatarı
yaso19
Üye
Üye
 
İleti: 531
Kayıt: 05.02.2006, 01:01
Konum: İzmir


Güvenlik



Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron