Nubert Lautsprecher, HiFi- und Surround-Elektronik

Boxen, Tontechnik und Klangphilosophie
https://nubert-forum.de/nuforum/

Startseite

https://nubert-forum.de/nuforum/viewtopic.php?t=12935

Seite 8 von 8

Verfasst: Mi 14. Dez 2005, 20:01
von Koala
Raptus hat geschrieben:Höchstwarscheinlich liegt überhaupt kein Motiv speziell gegen die NSF vor, solche Site Defacer suche einfach indiskriminiert nach bestimmten Serverkonfigurationen mit Schwachstellen als Opfer.
Da ja offensichtlich ein PlugIn des "SmartStore.biz" die ausgenutzte Lücke aufwies, dürften die Angreifer stumpf alle bei SmartStore unter "Referenzen" aufgeführten Shops abgegrast haben...

greetings, Keita

Verfasst: Mi 14. Dez 2005, 20:23
von Homernoid
:o
Ihr habt ja echt Ahnung von dem Kram.

Verfasst: Mi 14. Dez 2005, 22:42
von sigma
Homernoid hat geschrieben::o
Ihr habt ja echt Ahnung von dem Kram.
Jetzt könnte man sich gut seine Verschwörungstheorie zusammenbasteln, à la süchtige Nubert Benutzer hacken Webshop, um an Informationen bezüglich zukünftiger geplanter Produkte zu kommen :lol: :wink:

Verfasst: Mi 14. Dez 2005, 22:45
von Homernoid
:lol: :lol: :lol:

Verfasst: Mi 14. Dez 2005, 23:09
von volker.p
Nach meinen vielen gescheiterten Versuchen mein neues WLAN zu installieren, war ich gestern Abend schon nahe dran, meine neuen ARCOR-Teile in den Müll zu verbannen :oops: Gott sei Dank hat sich ja alles zum Guten gewendet :wink:

Verfasst: Do 15. Dez 2005, 15:18
von Mayday21
Koala hat geschrieben:
A.Krapohl hat geschrieben:wenn ueberhaupt sollte man eigentlich nur den php-entwicklern den 'register_globals' blödsinn um die ohren hauen.
Naja, niemand wird gezwungen register_globals einzusetzen und wer register_globals oder Software, die darauf angewiesen ist, einsetzt, muß eben sicherstellen, daß keine Hintertüren offen bleiben. Wer auf (vollständige) Validierungen von tainted data verzichtet und mit diesen Daten auch noch stream wrapper füttert, darf sich nicht über unerwünschte Nebenwirkungen wundern... ;)
register_globals selbst ist nicht sicherheitsrelevant und seine Existenz ist zugunsten der BC weiterhin im aktuellen Trunk enthalten, Rasmus versucht jedoch derzeit für PHP 6 einige Dinge, zu denen register_globals zählt, zu kippen. Lassen wir uns überraschen, wie sich php-dev bzw. php-core entscheiden werden...

greetings, Keita
Darf ich mal für mich und andere phpbb-Betreiber nachfragen: Hab ich jetzt zu befürchten, daß mir das bei meinem Forum/meiner Website genauso passieren kann?
Wie kann ich mich denn dagegen schützen?`
So versiert bin ich nicht im Administrieren, ich hab die Software einfach aufgespielt und das wars.

Verfasst: Do 15. Dez 2005, 15:29
von A.Krapohl
Darf ich mal für mich und andere phpbb-Betreiber nachfragen: Hab ich jetzt zu befürchten, daß mir das bei meinem Forum/meiner Website genauso passieren kann?
die aktuelle version des phpbb-forums sollte relativ sicher sein, da nicht zuletzt das von der phpbb group jüngst initiierte code-auditing eine menge an änderungen in der version 2.0.18 mit sich gebracht hat.
generell sind allerdings gerade beim phpbb die sogenannten mods (erweiterungen) oftmals ein desaster in bezug auf die sicherheit, hier ist meiner ansicht nach vorsicht (oder aber zumindestens ein eigenes code-auting) anzuraten.
im forum bei http://www.phpbb.de finden sich auch diverse möglichkeiten, durch z.b. den einsatz von .htaccess-schutz ein plus an sicherheit zu erreichen, bei eigenen servern würde ich darüberhinaus z.b. http://www.modsecurity.org empfehlen.

um es noch einmal deutlich zu sagen: das defacement der nubert-seite hatte nichts mit der phpbb-forensoftware sondern mit einem gänzlich anderen produkt zu tun; die einzige gemeinsamkeit der applikationen ist, dass beide in der php-skriptsprache geschrieben wurden.

Verfasst: Do 15. Dez 2005, 17:11
von Koala
Mayday21 hat geschrieben:Darf ich mal für mich und andere phpbb-Betreiber nachfragen: Hab ich jetzt zu befürchten, daß mir das bei meinem Forum/meiner Website genauso passieren kann?
Theoretisch kann das mit nahezu allen gängigen PHP-Projekten passieren, Ursachen können sowohl Fehler in PHP selbst als auch fehlerhafte Programmierung bei den Projekten sein.
Wie kann ich mich denn dagegen schützen?
Präventiv nur durch akkurates Code Auditing, was natürlich entsprechende Kenntnisse voraussetzt und eine Menge Zeit in Anspruch nehmen kann. Als Endanwender bleibt eigentlich nur das System so zeitnah wie möglich aktuell zu halten, d.h. man muß regelmäßig nach verfügbaren Updates Ausschau halten und bei Erscheinen je nach Dringlichkeit der Fixes so schnell wie möglich das Update installieren. Der Haken bei solchen Updates ist, daß sie mitunter Störungen verursachen können, weil die Änderungen Nebenwirkungen verursachen, man muß also abwägen, wie wichtig das Update ist und/oder vorher an einer Testinstallation die Verträglichkeit prüfen.
So versiert bin ich nicht im Administrieren, ich hab die Software einfach aufgespielt und das wars.
Viele Projekte bieten Newsletter an, die u.a. über neue Releases oder bekannt gewordene Exploits informieren, wichtig ist, daß man stets auf dem aktuellen Stand gehalten wird, um auch die Software up to date halten zu können.

greetings, Keita

Verfasst: Do 15. Dez 2005, 17:57
von Raptus
Nachdem ich mehrere Jahre Foren mit phpBB betrieben habe bin ich zu SMF (SimpleMachines) gewechselt, u.A. auch wegen den recht häufigen kritischen Sicherheitslücken. Heute würde ich eigentlich niemandem mehr phpBB empfehlen.

Verfasst: Di 11. Jul 2006, 19:42
von bassy
Hi!

Gerade gefunden!!
www.musikerboard.de

gruß bassy
Alle Zeiten sind UTC+01:00
Seite 8 von 8

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de