Ogłoszenia - Publikacja wersji 1.12.7
Deotho - 11-08-2012, 00:01
emiloski94 napisał/a: | mek1942 napisał/a: | Dobrze.... jest lista poprawek, zmian. Mam pytanie o optymalizacje. Czy coś zostało zmienione by usprawnić silnik forum ? Czy tylko takie drobne błędy, pierdoły, bo mimo wszystko żadna wymieniona funkcja nie jest jakaś znacząca, większość to drobne przeróbki. Pytanie moje czy oprócz poprawienia bezpieczeństwa + poprawieniu wymienionych błędów forum działa sprawniej, lepiej? Czy nie....
Myślę, że to pytanie jest ważne. Bo dużo osób ma bardzo zmodyfikowane fora i w razie gdy takie poprawki, które np. dla mnie się nie przydadzą, to nie wiem czy po prostu aktualizować wersję.
Z góry dzieki za odpwoiedź. Dzięki panowie za robotę. Chciało by się powiedzieć. Wkooońcu. |
Także podłączam się do pytania.
skrypt przemo jest uznawane za najbardziej dziurawe forum. |
Użytkownicy Przemo mówią, że MyBB jest dziurawe, użytkownicy MyBB mówią, że Przemo jest dziurawe. A tak naprawdę nic nie wiedzą. Znajdź mi dziurę w Przemo.
PS: Przemo odczytaj GG.
Przemo - 11-08-2012, 00:03
emiloski94 napisał/a: | skrypt przemo jest uznawane za najbardziej dziurawe forum. |
To ciekawe bo nie ma ani jednej dziury.
Nie znajdziesz nigdzie na zadnym bugtarq ani jednego exploita do wersji 1.12.6 nie mowiac o 1.12.7
Nie znajdziesz tez na zadnym hakerskim forum ani jednej konkretnej informacji na temat mozliwej dziury. jedynie prosby o zhakowanie bez odpowiedzi. Znajdziesz natomiast rozne metody np ddosowania szukajki, ktora w 1.12.7 zostala zabezpieczona jednak ddosowac mozna z powodzeniem najlepszy skrypt.
Znajdziesz tez informacje jak zhakowac forum kiedy ma sie dostep do panelu admina Coz za osiagniecie w dziedzinie hackingu Ale i to poprawilismy blokujac na sztywno adminowi mozliwosc wgrywania niektorych plikow.
phpBB by Przemo jest od wielu lat mielony przez hakerow, wszystkie dziury byly latane i od wielu lat nie pojawila sie zadna dziura (nawet XSS juz nie zaszkodzi bo jest zabezpieczenie ciastek od 1.12.6), dlatego smialo moge powiedziec, ze jest to najbezpieczniejszy skrypt forow dyskusyjnych.
A, ze czesto sie wlamuja na fora to juz inna sprawa, wszelkie wlamy sa poprzez dziury serwera (dostep do plikow z innych kont) lub kiedy adminowi ukradli haslo weszli do PA i wgrali shella.
Teraz juz nawet kradziez bazy danych nie spowoduje wlamania na forum bo jest uzyte bardzo silne hashowanie.
Wszelkie negatywne opinie sa pisane przez zaawansowanych uzytkownikow forow, ktorzy z zazdroscia patrza na to ze oni instalowali czyste forum, wgrywali lub robili modyfikacje sami a tu nagle ktos kto nie ma pojecia o niczym ma forum bogate w funkcje bez specjalnej pracy. Ich to kłuje to w oczy.
Dodatkowo tez uzytkownikami tego forum sa z reguly osoby z mniejszym doswiadczeniem dlatego tez to glownie na forach takich osob sa wlamy bo nie potrafia dobrze zabezpieczac swoich hasel oraz dbac w inny sposob o bezpieczenstwo. A najwieksze bezpieczenstwo daje wlasnie phpBB modified by Przemo w wersji 1.12.7
tartut - co do twoich propozycji zmian zmiennych czy generowanie stopki - owszem, sa to jakies drobne usprawnienia jednak malo istotne a malo istotnych nie robilismy bo powoduja one wydluzenie manualnej instrukcji i zyski nie pokrywaja kosztow pracy poniesionej przez wlascicieli forow.
mek1942 - czy sa wazne poprawki? Nie ma waznych poprawek dotyczacych optymalizacji, jedynie drobne (aczkolwiek optymalizacja szukajki do drobnych nie nalezy). Sa natomiast zmiany poprawiajace bezpieczenstwo oraz poprawki roznych bledow uzytkowych. Kilka drobnych usprawnien oraz lepszy shoutbox.
P.S.
Jako, ze ta wersja byla robiona w znakomitej wiekszosci przez cala nasza Ekipę, prosilbym naszą Ekipę o zabieranie glosu w tym temacie bo mi jest glupio, to tak jakbym sie chwalil nie swoim dzielem
emiloski94 - 11-08-2012, 00:25
Nie no, po prostu napisałem co sądzą inni użytkownicy. Gdzie nie znajde tematu na jakims innym forum o np. instalacji przema to wszedzie pisza ze jest to najdziurawszy skrypt....
czesio56560 - 11-08-2012, 07:24
Przemo i tu Ci napiszę.. Na Przemie uczą się hackować najmłodsi hackerzy.. jest Ono tak dziurawe, że.. Mam forum pod serwery CSS, ostatnio jedna osoba mi shackowala forum, musiałem wgrywać kopię, a najlepsze było to, że widział dziury w modyfikacjach typu robocik itd.. Ale wykorzystał dziurę w register -,- No comment. Wykrył dziurę, potem SQL INJECTION i forum hacked ;p
QuahodroN - 11-08-2012, 07:36
Skąd tak wszystko wiesz co zrobił??
Może sam coś zrobiłeś przy jakiejś modyfikacji lub wgrałeś modyfikacje z innego forum niż przemo.org to się nie dziw.
PS jeśli Ci się nie podoba przemo to sobie zmień na coś innego a nie będziesz się tu wyżalał że Ci forum shakowali
a po 2 jest od tego dział
Tyle z mojej strony
Deotho - 11-08-2012, 07:39
Skrypt Przemo nie ma żadnych dziur. Jeśli sami dajecie się wrabiać w takie rzeczy, że ściągacie pliki od nieznajomych to tylko i wyłącznie Wasza wina.
mek1942 - 11-08-2012, 11:37
A nie lepiej bylo wypuścić tą wersje 1.12.7 z tym niby nowym stylem na divach ? Żeby to już wszystko było full profeska i by się ten nowy styl przerabiało itd. ?
mek1942 - 11-08-2012, 12:00
Nie trzebabyć inteligentnym... wystarczy wklepać haslo w md5 do google i dostaniemy rezultat
Jerry17 - 11-08-2012, 12:02
Największa dziura jest w głowie administratorów, którzy zakładają proste hasła na innych forach i to samo hasło ustawiają u siebie będąc administratorem. Fakt, że przemo miał kodowanie hasła jako zwykłe md5() pozwalał na szybkie odszukanie hasła pasującego do hasha. Dobry przykład szczególnie dla osób grających w CS'a, bo wiele takich for opartych jest na przemie: administrator klanu wyzywa klan przeciwnika przeciwnika na "klanówke" rejestrując się na forum przeciwnika tym samym hasłem, co na własnym forum, na którym posiada Administratora. Przeciwnik przegrywa pojedynek i w zemście sprawdza w bazie hash użytkownika, który wyzywał na pojedynek. Jako, że użytkownik miał proste hasło, znalezienie pasującego odpowiednika do hasha nie było pracochłonne. Mając hasło tego użytkownika w zemście sprawdza czy pasuje do loginu administratora na forum klanu, z którym przegrali (a nuż się uda) i okazuje się, że pasuje więc wywala im co popadnie, zmienia hasła itd. Często fora pochodzą z kreatorów bez dostępu do ftp, w takich przypadkach odzyskanie czegokolwiek staje się prawie niemożliwe. Co dalej? Poszkodowany admin widzi napis hacked i burdel na swojej stronie, więc co robi? Leci na inne fora i wypisuje jakie to przemo dziurawe, jak łatwo padł ofiarą hackerów itd. Dlatego trzeba pamiętać, że jak jest się administratorem, to trzeba dbać o bezpieczeństwo i ustawić bezpieczne hasło, najlepiej takie, którego nigdzie indziej nie używamy.
MaTeK_ - 11-08-2012, 12:36
Powinniście mieć trochę szacunku do ludzi, którzy się starają... Najlepiej skrytykować,a dodatkowo nie mieć żadnego pojęcia na temat bezpieczeństwa.
Jakoś nie ma żadnych zgłoszeń o włamaniach, a jeśli są to tylko z winy administratorów. Ustawiacie sobie łatwe hasła i dajecie dostęp byle komu, a później się dziwicie, że ktoś ma waszą bazę i hasła.
mek1942 napisał/a: | Nie trzebabyć inteligentnym... wystarczy wklepać haslo w md5 do google i dostaniemy rezultat |
Żeby mieć hasło md5, trzeba mieć bazę danych, a żeby mieć bazę danych trzeba mieć dostęp do phpmyadmin lub FTP. Jeżeli nie rozdajecie haseł byle komu to nie ma mowy o żadnych włamaniach. Dodatkowo wybieracie często darmowe hostingi, które nie są najlepiej zabezpieczone, lub jakieś tanie serwery za 5zł sms...
Trochę powagi i jak wspomniałem szacunku.
Następne posty typu, że to jest dziurawy skrypt lub niezabezpieczony będą odpowiednio nagradzane bo to jest zbaczanie z tematu.
Lorgan - 11-08-2012, 13:25
Jest możliwość podzielenia przez Was instrukcji manualnej na zadania?
Np. Poprawienie wyszukiwania:
Kod: | -----[ SQL ]------------------------------------------
ALTER TABLE phpbb_search_results ADD search_time int NOT NULL;
ALTER TABLE phpbb_search_results CHANGE search_id search_id int(11) NOT NULL auto_increment;
... |
Zmiana SB:
Kod: | -----[ COPY ]------------------------------------------
/admin/admin_shoutbox.php to /admin/admin_shoutbox.php
... |
Itd.
W ten sposób każdy będzie w stanie nanieść wybrane poprawki, unikając kosmetycznej ingerencji, która mogłaby zakłócić działanie zainstalowanych modyfikacji.
Pozdrawiam.
Przemo - 11-08-2012, 13:48
Ja tylko dodam jeszcze cos na temat rzekomych dziur w kontekscie hasel i hashowania md5.
Powszechne jest to ze admin forum rejestruje sie na innym lub u konkurencji z tym samym haslem i jako ze do tej pory bylo kodowanie md5 to przy latwym hasle mozna bylo wyciagnac ten hash. teraz jest bardzo mocne hashowanie.
Jednak nigdy nie dajcie sie zwiesc tym ze jest mocne hashowanie poniewaz zadne hashowanie ani szyfrowanie na swiecie nie zabezpieczy was poniewaz admin konkurencyjnego forum moze w prosty sposob przechwytywac hasla czystym tekstem bezposrednio z formularza logowania i nawet nic nie da jak jest szyfrowanie SSL na obu forach.
Po prostu bezwzglednie co serwis to trzeba miec inne haslo.
I zakonczmy na tym watek bezpieczenstwa bo to nie ten temat.
PeLe14 - 11-08-2012, 14:29
Jak zaktualizować gdy ma się mody?
Woytec - 11-08-2012, 14:44
Pobierz z linku "manual"
emiloski94 - 11-08-2012, 16:02
Lorgan napisał/a: | Jest możliwość podzielenia przez Was instrukcji manualnej na zadania?
Np. Poprawienie wyszukiwania:
Kod: | -----[ SQL ]------------------------------------------
ALTER TABLE phpbb_search_results ADD search_time int NOT NULL;
ALTER TABLE phpbb_search_results CHANGE search_id search_id int(11) NOT NULL auto_increment;
... |
Zmiana SB:
Kod: | -----[ COPY ]------------------------------------------
/admin/admin_shoutbox.php to /admin/admin_shoutbox.php
... |
Itd.
W ten sposób każdy będzie w stanie nanieść wybrane poprawki, unikając kosmetycznej ingerencji, która mogłaby zakłócić działanie zainstalowanych modyfikacji.
Pozdrawiam. |
Jestem tego samego zdania, bo nie widzi mi sie edytować około 100 plików; D które aktualizacje np. mi sie nie przydadza
|
|
|