phpBB под угрозой - альтернативные варианты

Rammstein

PHPClub::News
phpBB под угрозой - альтернативные варианты

Как уже было написано ранее, держатели форумов phpBB обеспокоены массовой регистрацией бота FuntKlakow.
На этой почве SitePoint.com предлагает перейти на Fud Forum, разработанный Ильёй Альшанетским, одним из крупных специалистов по безопасности. На этом же ресурсе всё больше и больше пользователи говорят о том, что этот бот или чья-то плохая шутка, или новый спам-бот, а опасения на счёт взломов - абсолютная глупость.
 

EugeneVC

Новичок
его постоянно ломают, постоянно чинят
но популярность его в инете, больше чем у Fud Forum
 

Andreika

"PHP for nubies" reader
держатели форума phpBB вообще всегда должны быть обеспокоены )

а вот фудфорум сильная вестч! убивает апача1.3.34Win/php5.1.2 при установке на ура
 

Rammstein

PHPClub::News
У Fud большие проблемы с установкой... я на своём старом хостинге его просто установить не смог.
 

nw

Новичок
Зато у него есть конвертеры базы для других форумов (для переезда на него) и API для "ручного" переноса данных.

-~{}~ 25.03.06 20:49:

Да, кстати, на fudforum.ru сейчас объявлен поиск желающих заниматься этим сайтом. Предоставим полный доступ к сайту/почте/БД, дадим админские привелегии.
Сейчас нет возможноси подымать проект, но хочется чтобы он жил, так как софтина полезная все же.
 

Vladson

Сильнобухер
>>> держатели форумов phpBB обеспокоены
Зачем врать ?

Я держу рнрВВ форум (и не один) я спокоен как корова в Индии, если людям нужен продукт который ставится раз и на сто лет они платят деньги и покупают VB и IPB (в их тоже ломают, но реже)

рнрВВ изначально бесплатный продукт и требовать от него высших степеней защиты просто глупо, в свою очередь за пару лет содержания форумов рнрВВ мои форумы ни разу не были взломаны и причина этого в том что я слежу за новыми дырами (некоторые сам ищу) и всегда заделываю.

Ошибка пользователей рнрВВ в свою очередь лишь в том что некоторые думают что безопасность это не их забота, а некоторые и вовсе не знают что есть такое понятие как безопасность.

Разработчики даже стали более регулярно и оперативно выпускать своевременные обновления и заплатки но большенство админов рнрВВ даже не знакомы с понятием безопасности и таким образом сами правацируют взломы своих сайтов игнорируя известия о выходах заплаток...

Меня конечно немного беспокоит судьба рнрВВ но не по причине FuntKlakow а по причине медленного но верного "свёртывания" проекта рнрВВ2 так как все силы брошены на рнрВВ3.
 

baev

‹°°¬•
Команда форума
а некоторые и вовсе не знают что есть такое понятие как безопасность.
— мягко сказано.
Я б вместо «некоторые» поставил «подавляющее большинство».
 

Vladson

Сильнобухер
>>> Я б вместо «некоторые» поставил «подавляющее большинство».
Для статистики на одном форуме из 4000 посетителей у 20-ти был пароль "123456" а у 10-ти (и у одного модератора) "123" :)
 

Dreammaker

***=Ф=***
Vladson,
Вот кто форумы ламает ;)

А если серъёзно, то серъёзно (сорри, за каламбур) только с модераторским паролем, а остальных можно оправдать. У меня есть специальные "форумные" логин и пароль, ну о--о-о-чень простые . Я их использую в тех случаях, когда "припёрло" ответить, а планов оставаться на этом форуме нет. (уточню, я не рекламный бот :) ) + зачем занимать хорошие ники :)

Так и тут, возможно, согласно этой статистике по закону больших чисел такой же случай.
 

Vladson

Сильнобухер
На том форуме который я привёл я был админом :)

Оправдать можно, но факт остаётся фактом, модератор с таким паролем это не модератор а практически дыра в закрытый раздел (на большенстве форумов есть разделы для модераторов, и причём с информацией не для посторонних глаз)

Так-же многие (в том числе и модераторы) ставят даты рождения, номера ICQ и прочие простые вещи (доступные в открытых источниках)

(кстати у меня на этом форуме тоже не сложный пароль, так-как я не имею доступа в какие-либо закрытые топики и "кража" этого пароля не приведёт к каким либо последствиям кроме чтения моей личной переписки в которой в свою очередь нет ничего опасного)
 

Dreammaker

***=Ф=***
Vladson, а откуда админу известны пароли юзеров? Eсли идёт речь о phpbb, то они ж там кажись криптованые хранятся? ;)
 

Vladson

Сильнобухер
Dreammaker
Мне и не были извесны, просто я вбил SELECT * FROM phpbb_users WHERE password = '{хеш_от_123456}' и увидел что у 20-ти человек такой пароль
 

Dreammaker

***=Ф=***
Vladson, нужно на securitylab новый способ получения паролей юзеров описать.:)

Что-то типа.
В phpbb найдена уязвимость. Пользователь используя эксплойт, специально сформированным запросом может получить пароли юзеров.

в качестве эксплойта, можно использовать PHPMyAdmin любой версии.

:)
 

Vladson

Сильнобухер
Dreammaker
Только не пользователь а

"админ специально сформированным запросом может получить пароли самых глупых юзеров" :)
 

alexhemp

Новичок
Visual Confirmation MOD включен в поставку phpBB2 уже долгое время.

У меня ни на одной инсталляции phpBB нет регистраций
такого юзера.

Плюс с помошью небольшого хака можно разрешить писать гостям - только им нужно каждый раз код вводить.
 

kruglov

Новичок
Тут пишут, что ломается на раз
http://sam.zoy.org/pwntcha/

-~{}~ 05.04.06 12:58:

p.s. Попробовать что ли самому взломщик написать (чисто в тестовых целях).

Трудностей не должно быть.

Сложность ненамного больше, чем у примитивных invision...

http://www.captcha.ru/breakings/

-~{}~ 05.04.06 22:47:

Хотя вот же работающий пример: http://www.pwntcha.net/test.html

-~{}~ 08.04.06 11:18:

И я подтянулся: http://www.captcha.ru/breakings/phpbb/
 
Сверху