.....
 

.....

So langsam wirds lächerlich... Kaum werden ein paar Bugs gefixt kommt schon die nächste Version und das seit 2.0.6

Bevor 2.2 erscheint dürfen wir uns wohl bis phpbb2.0.30 freuen...

.....

.....

@mecca

Ich bin zwar kein Freund von phpBB, aber das it doch prima. Ich würde mir von anderen Softwareprojekten (ob Forum oder nicht) wünschen, dass Fixes viel öfter in ein neues Release münden würden.

Prima Politik finde ich!

Viele Grüße
hj

PHP 5 und phpBB: http://www.phpbb.de/topic59531.html

Die Releasepolitik des phpBB Teams sieht vor, Fixes so schnell wie möglich zur Verfügung zu stellen. Man kann sich darüber streiten, ob dies gut oder schlecht ist.

.....

vBulletin 3.0.3 war draussen bevor ich überhaupt von 3.0.2 gehört habe :D
Aber da war es was anderes. Wie ich hörte wurden bei diesem update
4 Seiten Bugs & Sicherheitslücken gefixt. *Keine lust jetzt bei vBg danach zu suchen*

Natürlich hat es auch was gutes, dass das phpBB team stets alle Bugs so schnell
wie möglich fixen will, aber meiner Meinung nach kratzt das doch am Image.
Was denkt der "Konsument" denn, wenn er eine Software vor sich hat,
die ständig und oft nach (Sicherheits-)Updates verlangt? Ausserdem sieht
ne 2-Stellige Nachpunktzahl unsauber aus, aber das nur so nebenbei.

Ansichtssache, aber ich würde erst nach und nach, wenn genug Bugs
gefunden wurden ein Update veröffentlichen. Einfach nur, um dem Nutzer
die Arbeit, die ein Update macht, nicht so oft "reinzudrücken".

Zum Thema Releasestrategie habe ich schon das aus meiner Sicht wichtigste gesagt: ein Thema, viele Meinungen. Was richtig oder falsch ist, muss jeder für sich selbst entscheiden ;)

Es sagt niemand, das phpBB 2.0.x nicht unter PHP 5 läuft. Im Gegenteil, es gibt viele Rückmeldungen, das es läuft. Außerdem wird ja in dem Announcement auf phpBB.com explizit darauf hingewiesen, was man an der PHP-Konfig ändern müsste, sollte es nicht laufen.

Wo wir gerade beim Thema sind: Was sagen eigentlich WBB, Jelsoft oder IPB zu PHP 5?

Jelsoft sagt noch nichts, sie testen noch, jedenfalls lese ich das in den Foren dort.

IPB sagt, prinzipiell läuft es, auch wenn es Glitches gibt.

Bei Woltlab kann ich nichts finden.

Woltlab sagt: wBB1.2 läuft einwandfrei mit pHp5, bei wbb2 gebe
es aber bis wbb2.1.4 ein Problem beim erstellen von Foren im ACP.
Da dieser Fehler in Version 2.2 aber nicht mehr auftaucht, schätze ich
dass bald ein Fix für Version 2.1 erscheint.

Ich nehme mal an phpBB hat momentan genau ein "Problem" (oder auch wieder nicht, je nach dem), jeder scheint davon besessen zu sein eine Sicherheitslücke im phpBB zu finden, diese dann auch so schnell wie möglich zu veröffentlichen (zum Glück meist durch Rücksprache). Das wiederum führt dazu, daß wir natürlich fixen müssen.

Nehmen wir einmal das "HTTP Response Splitting"... phpBB ist AFAIK die einzige Board-Software, die davon nicht betroffen ist. Alle Foren, die redirects einsetzen, und diese nicht gesondert filtern (IPB z.B.) haben diese Sicherheitslücke (ich gehe auf die Folgen dessen explizit nicht ein, weil ich nichts lostreten möchte).

In den letzten Monaten hat die Rate der neu hinzugekommenen Möglichkeiten die Logik von Web-Applikationen zu umgehen immens zugenommen, woran das liegt kann ich aber nicht sagen.

Ich finde es nicht schlimm, solange es nicht zum Nachteil des Users ist. Hier sei nur der img bbcode tag genannt, wobei Bild-URL's eine generelle Problematik im Web darstellen, man kann ja auch so gut wie alles faken. Aber den User trifft es natürlich, da auf einmal z.B. keine php-skripte mehr zulässig sind (Dynamische Signaturen), was wiederum andere anregt dies wieder zu umgehen, was wieder neue Möglichkeiten eröffnet, usw... es ist ein stetger Kreislauf. IPB bietet z.B. eine Konfigurationsmöglichkeit zur Eingrenzung der Möglichkeiten dieses Tags, wenns allerdings auf "erlaub mal alles" gestellt ist, dann Gute Nacht.

vB wurde schon erfolgreich unter PHP5 getestet von verschiedenen Mitarbeitern.

Wenn ich mal eine neugierige Frage stellen darf: Gibt es Kommunikation zwischen den Entwicklerteams? Wie du selber erläuterst sind die Lücken ja nicht alleine im phpBB vertreten, sondern meist auch in einer ganzen Reihe anderer Forenpakete und and anderer Software. Werden da solche Sachen auch mal weitergereicht an andere Teams?

Was die Release-Politik angeht: Das ist sicher einer der Punkte warum ich dem phpBB treu geblieben bin. Es ist für mich auch zum Kriterium beim Auswahl neuer Software geworden. Wenn man mit den Lücken vertraut ist, die im Laufe der Zeit im phpBB und in anderen OpenSource-Software geschlossen werden, und wenn man auch weiß wie diese funktionieren, dann ist es oft ein Leichtes vergleichbares in anderer Software zu finden.
So hatte ich einen der mir so bekannten Fehler auch in 2 von 2 Weblog/CMS Systemen gefunden, die Autoren angeschrieben um zu sehen, wie die Reaktionen sind. Beide hatten zwar einen Fix in der neuen Version, aber nur einer hat die User dazu aufgefordert unbedingt upzugraden wegen einer Sicherheitslücke. Der andere hat es totgeschwiegen. Mir war klar, welcher Software ich dann den Vorzug geben würde.

Bei der Lücke bin ich mir sicher, das die "Erfinder" die Entwickler so ziemlich jeder in PHP geschriebenen Software angeschrieben haben. :)

Um auf deine Frage zu antworten, nein, so etwas gibt es (leider) nicht. Ich würde es begrüßen, und eine Überlegung, wie das umzusetzen ist, ist es allemal Wert.
Aber ich glaube, das Scheitern so eines Vorhabens, läge eher in der Mentalität der Entwickler, und der herschenden Konkurrenz. Ein XXX-Board-Entwickler wird sich doch sagen: "ach was, wieso sollten wir, damit kriegen wir doch nur mehr User, die zu uns wechseln". Das ist marketing-technisch sogar nachzuvollziehen (da hier grundsätzlich der "Benutzer" an letzter Stelle zu stehen scheint - zumindest in der Werbe-Branche, da hier nur auf die Einnahmen geschaut wird, aber nicht darauf, wie viele User abwandern, weil das DHTML-Banner nicht wegklickbar ist. ;)), die User aber nicht bedacht werden (im erstem Gedankengang nicht - IMO, später wahrscheinlich schon).

Einige würden die Idee wahrscheinlich toll finden, einige wiederum nicht, wenn z.B. die Lizenz abweicht.

Vielleicht sollte man mal Daten dazu sammeln, um überhaupt eine gewisse Grundlage (dagegen/dafür) zu haben.

Das betrifft aber nur eine >handvoll< von Servern, und darunter findet man nicht den Apache Web Server, welcher ja am meisten verbreitet ist.

Auch muss sowas sehr gut geplant werden, da hier das Timing eine wichtige Rolle spielt.

Ich bin sogar der Meinung, daß es ein Bug in den entsprechenden Server Produkten ist. ;) Aber um die User zu schützen fixed man das, denn auch die nutzen z.B. den IIS.

Das Timing ist durch eine der beschriebenen Möglichkeiten nicht von entscheidener Rolle, sogar unerheblich.

Da stimme ich dir zu, würden sich alle Web-Server ans RFC halten würde es solche Probleme nicht geben.

Selbstverständlich, ich wollte in meinem Beitrag dieses Vorgehen auch nicht kritisieren, ich wollte nur darauf hinweissen, dass die Mehrzahl der User nichts zu befürchten hat.

Wie du schon schriebst, ... durch eine ...., allerdings muss genau für diese eine Möglichkeit - soviel ich weiss - die Seite zwischengespeichert werden, für die anderen Möglichkeiten ist das Timing nicht unerheblich.

.....

Dann mach die Version Nummer weg... ist sowieso sicherer wenn niemand wirklich weiss welche Version das ist (denn sonst weiss jeder dank Changelog wo in welcher Version welches Sicherheitsloch ist). Also z.B. statt "Powered by phpBB 2.0.10 © 2001, 2002 phpBB Group" ein "Powered by phpBB © 2001, 2002 phpBB Group" und illegal dürfte daran auch nix sein denn der Sinn des Copyrights wird nicht verändert.

Mal davon abgesehen darf man diesen Copyrightvermerk im phpBB auch komplett entfernen. Ist zwar nicht sehr nett, und kostet auch den Support in den Foren, aber legal ist es.

Naja ich glaube aber eher nicht das die in den Foren sauer sind und dir keinen Support mehr geben wenn du die Versions Nummer aus dem Copyright nimmst. Die sagt imho wie schon gesagt nur einem Hacker welche Sicherheitslücke eventuell drinn ist.

Der fehlende Support bezieht sich ja auch lediglicht auf eine komplette Entfernung des Copyrightvermerks ..

Seit dem 18.11. gibt es ein neues Update auf Version 2.0.11. Die Änderungen:

* Fixed unsetting global vars
* Fixed XSS vulnerability in username handling
* Fixed not confirmed sql injection in username handling
* Added check for empty topic id in topic_review function
* Added visual confirmation mod to code base

Hallo Alle,
hier setzt man sich auch schon mit php 5 auseinander : phpbb2.de Thread zu php5, wobei es sich hier um die überarbeitete Version des phpBB2 handelt. Bei diesem sind Zahlreiche Mods eingefügt, auch sind einige darunter welche den User und den Admin Bereich besser absichern. Ich setze selbst zwei dieser Portal / Foren Systeme ein und bin sehr zufrieden damit. Vorher nutzte ich ein IPB in der Version 1.3.1 mit einem MK Portal, welches auch meine Ansprüche zufriedenstellte, aber das phpBB2Plus ver. 1.52 ist weit umfangreicher an Funktionen. Was aber nicht heisst, das dies nicht in einem IPB möglich sei ;)
Dort(phpBB2.de)kann man anhand der Statistik auch sehen das ein phpBB einiges verkraftet. Alles in allem bleibt eh nur eins zum Ende, man kann sich jedes Board entsprechend anpassen, ganz so wie man es haben möchte. Dabei ist es meiner ansicht nach Egal ob dies ein wbb, vB, IPB, phpBB oder ein anderes Forum ist. Es gehen gar einige sogar hin und proggen Portal oder CMS Systeme für verschiedene Forensysteme, ein gutes Beispiel ist da oc-Portal. Das ist für diese erhälltlich :
* Invision Board 1.1/1.2/1.3/2.0 (recommended)
* phpBB 2.0.x (recommended)
* vBulletin 2.2.x/3.0.x
* Burning Board 2.0.x/2.2.x
* UBB.Threads 6
* XMB 1.8
* OpenBB 1.0.x
* tForum 94.2.1
* Simple Machine Forum 1.0.x
hier geht es zur Feature List des Portals : oc-Portal
also von daher und das eh so fast ein jeder seinem Forum / Portal ein eigenes Style gibt, ist es Egal was man persönlich für das Beste hält und einsetzt. Was den Aspekt der Sicherheit betrifft, so hat doch jede Software oder jedes Script irgendwo eine Lücke oder ähnliches, wobei ich keinem unterstellen will, dies mit Absicht zu tun.