Das ging aber schnell
Am 13.04 gab es die Version 1.4.12 und heute erst 6Tage später gibt es schon die 1.4.13 zumindest in der eng. Version
Da bin ich mal gespannt was es da dringendes gieb das es so schnell eine neue Version gieb
ch traue meinen Augen nicht. 1.4.13 wurde heute relased. Es handelt sich jedoch um einen Security Patch, welchen man auch manuell ändern kann.
...die revision zur 1.4.13 ist auch schon unterwegs...
Die schaufeln sich da gerade ihr eigenes Grab mit dem Zufallsgenerator. Das Experiment hätten sie besser in der 1.6 Beta oder besser ganz weggelassen.
Verstehst du, warum das notwendig sein soll? Immerhin scheint es jetzt gut getestet zu sein.
Der Hintergrund ist hier erklärt:
http://www.suspekt.org/2008/08/17/mt_sra...m-numbers/
mt_srand((double)microtime()) (plus herausgeben des Zufallswert und ohne reseeden bei der anschließenden Passwortgenerierung) ist das was MyBB gemacht hat, das muss gepatcht werden ohne Frage.
Aber das was sie da jetzt veranstalten mit nun schon dem 8. oder 9. Patch dazu mit Zufallsquellen die normal eh nicht zur Verfügung stehen und obfuscator, das ist einfach Schwachsinn.
"gut getestet" ist da auch überhaupt nichts, was sie jetzt mit 1.4.13 ausgeliefert haben wird bei einigen wieder den getmypid() Fehler werfen (weil Ryan das von Dennis hinzugefügte @ wieder entfernt hat), aber das ist im SVN schon wieder anders, d.h. ich vermute da wirds bald ne Revision zur 1.4.13 geben. Am Ende kann man froh sein wenns irgendwie funktioniert, aber technisch richtig bzw. sauber ist das was die da machen nicht.
(19.04.2010, 12:48)frostschutz schrieb: [ -> ]"gut getestet" ist da auch überhaupt nichts, was sie jetzt mit 1.4.13 ausgeliefert haben wird bei einigen wieder den getmypid() Fehler werfen (weil Ryan das von Dennis hinzugefügte @ wieder entfernt hat), aber das ist im SVN schon wieder anders, d.h. ich vermute da wirds bald ne Revision zur 1.4.13 geben.
Die Dateien entsprechen der letzten Revision...
EDIT: Zumindest bei den changed files...
Die ganzen Probleme werden doch nur durch PHP verursacht. Warum bauen die keine sicheren Funktionen ein? Dass es hunderte Möglichkeiten der Konfiguration gibt, macht es nicht einfacher für Entwickler. Warum muss der die Probleme und Fehler von PHP ausbaden und umgehen? Mit dem Wegfall der Unterstützung von PHP 4 wird es einfacher, aber viel Code steckt immer noch drin (z.B. die ganzen my_-Funktionen).
Tatsache, in den changed files ist die letzte Revision drin, in der latest zip nicht. Wäre mir nie aufgefallen da ich mir die changed files nie hole. Ich nehme immer die volle zip. Ist also eine Revision zu 1.4.13... und das Chaos ist perfekt.
Ich habe es intern gepostet und hoffe, dass es bald geändert wird. Nur weiß ich nicht, wer Zugriff darauf hat (hoffentlich ein Frühaufsteher). Wie das passieren kann, sollte sich dann rausstellen.
Hier sollten jetzt korrekte Dateien angeboten werden...