Yeah AnTi phpBB :]. Nareszcie ktoś mądry się znalazł.
Już dawno byłem za tym, aby "nastraszyć" trochę zespół phpBB. Ale mimo wszystko serwerownie powinny lepiej zająć się doskonaleniem zabezpieczeń, a nie zakazem stosowania popularnego oprogramowania. Z drugiej strony webmasterzy powinni często przeglądać takie serwisy jak securityfocus.com i aktualizować swoje skrypty.
Popieram. phpBB jest z taką ilością dziur nic nie warte :P
Ktoś na PHP.pl powiedział kiedyś: "phpBB działa, ale nikt nie wie jak i dlaczego, po prostu działa". Dlatego też tak ciężko o bezpieczeństwo tego skryptu. Rozwiązaniem jest też na pewno PHP jako CGI i FastCGI i coraz więcej serwerów stosuje tę metodę instalacji PHP.
> Hmmm.. Niech zabronią jeszcze używania HTML, XML i PHP i jak dają bazę Sql to niech zabronią z niej kożystać bo zawsze może tam być dziura i nie daj boże wpadnie do niej cały internet! A ludziom bez wyobraźni powinni nie instalować dostępu do sieci... phpBB było, jest i będzie wiodącym skryptem for dyskusyjnych jeżeli chodzi o ilość błędów. Od wielu lat phpBB jest rozwijane na bazie dziurawego kodu. Trudno oczekiwać, by kolejne wersje nie miały błędów skoro jądro tego skryptu je ma i nikomu nie chce się napisać tego poprawnie. Fakt - napisanie całego jądra phpBB od nowa to bardzo duże zadznie... jednak trzeba wziąść pod uwagę, że PHP się rozwija (zarówno jeżeli chodzi o bezpieczeństwo jak i możliwości) a phpBB nie jest dostosowane do ostatnich wersji PHP w pełni. Twórcy phpBB mają 2 wyjścia: albo napiszą phpBB od nowa, albo będą patrzeć jak coraz większe grono provaiderów zabrania jego stosowania.
Osobna instancja httpd na każdy wirtual? Hmmm... To musi być przyszłość masshostingu -- hodować np. dziesięć tysięcy instancji httpd w dziesięciu tysiącach odpowiadających im grajdołkach. Oczywiście dla każdego osobny adres IP i wracamy do ery HTTP/1.0 (no, bogatsi kupią sobie content-switche). Nie tędy droga. Po pierwsze samo PHP ma mechanizmy umożliwiające pewną separację wirtuali od siebie (open_basedir i inne), po drugie lepiej puszczać takie rzeczy jako CGI czy FastCGI. phpBB jest wrzodem na zadku wielu adminów i wcale mnie nie dziwi zakaz używania tego pakietu, od siebie dodałbym jeszcze, że warto zainteresować się FUDForum Ilii Alshanetskiego.
Hmmm.. Niech zabronią jeszcze używania HTML, XML i PHP i jak dają bazę Sql to niech zabronią z niej kożystać bo zawsze może tam być dziura i nie daj boże wpadnie do niej cały internet!
>>od kiedy Invision i vBulletin sa darmowe? a od kiedy to umiesz czytac ze zrozumieniem??
od kiedy Invision i vBulletin sa darmowe?
a moze fastcgi skonfigurowac coby skrypty php odpalaly sie z prawami uzytkownika - wlasciciela pliku? z kolei fastcgi dzialaja max jako administrator grupy. zdaje mnie sie ze nawet bez xattr mozna to uzyskac. bylo (chyba) gdzies na liscie lighttpd .
Co do tych praw... to najlepiej kazda domente trzymac w osobnym serwerze wirtualnym. Umozliwia to taki mechanizm jak Jail z FreeBSD. Podobny mechanizm ma tez Solaris. Niestety zawsze to kolejny demon httpd do wykarmienia ;/
Podoba mi się koncowe stwierdzenie. :-)
