[Adidas]

Einen wunderschönen Guten Morgen,

Ich habe mich mal dazu entschlossen euer Open Source Forensoftware zu testen. Ich habe mich für die Version 1.6.15 im Download bereich entschieden. Und stelle mich in dieser hinsicht als neuer User mal vor.

Im gegensatz zu vielen anderen teuren Forensoftware bin ich bis jetzt von mybb sehr begeistert.

Skeptisch hingegen macht mich jedoch, dass ich keine einstellung finde, wie ich dateien mit der endung wie .php oder .php.jpg deaktiveren kann. Habe nämlich keine lust in naher Zukunft geshellt zu werde. Falls ich mich irren sollte würde ich mich über eine belehrung sehr freuen und auch Tipps um den Angreifer einen Shell upload nicht so leicht wie garnicht zu ermöglichen.

Denke ist auch für viele der User hier sehr interessant.

Auch würde mich aus Sicherheitsgründen der User, sehr stark interessieren ob ich irgendwelche Sicherheitsupdates bei der 2ten aktuellen Version von mybb (1.6.15) nachholen müsste oder ist das schon mit drin?

Derzeit habe ich auch nur ein Plugin installiert und auch aktiviert, will so wenig plugins wie möglich haben um die Sicherheit nicht zu gefährden.

Das plugin was ich installiert habe ist

Overview (3.9.2)

http://mods.mybb.com/view/overview-mybb-1-6

Ich finde die neuesten beiträge anzuzeigen sollte schon ein muss sein mache mir aber Sorgen ob ich da nachträglich, mir unbekannte lückchen schließen müsste. Sofern es welche gibt.

Vielleicht hab ich auch eine falsches plugin erwischt und würde mich auch über einen verweis, für einen sicheren "Neueste Beiträge" sehr freuen.

Desweiteren möchte ich gerne eine shoutbox meinen User anbieten aber habe bis jetzt nichts anständiges gefunden und bin mir da echt unsicher welche doch derzeit auf dem aktuellsten stand ist und keinerlei lücken aufweist. Kann mir da ein erfahrener User mir einen sicheren Shoutbox empfehlen?


Meine größte Sorgen ist derzeit das man zu leicht eine Shell hochladen könnte, die "Neuesten Themen" sehr instabil und lücken aufweisen würde und ich das nicht mitbekomme und welcher Plugin für eine Shoutbox bis heute noch standhaft geblieben ist.


Würde mich über ausführliche Antworten, die mir sehr stark weiterhelfen herzlich bedanken.


PS: Da ich einen Managed Server in betracht ziehe wird die Sicherheit bei den Server nun nebensache.


MfG
Adidas


Edit:

Fraglich ist auch die endungen in der URL in den Themen zb forumdisplay.php?fid=7 sollte ich mir da sorgen machen da ja auf mybboard.de sowas garnicht zu sehen ist und statt fid=NR bei euch /thread-39483.html zu sehen ist.

[MrBrechreiz]

Das plugin was ich installiert habe ist

Overview (3.9.2)

http://mods.mybb.com/view/overview-mybb-1-6

Ich finde die neuesten beiträge anzuzeigen sollte schon ein muss sein mache mir aber Sorgen ob ich da nachträglich, mir unbekannte lückchen schließen müsste. Sofern es welche gibt.

Vielleicht hab ich auch eine falsches plugin erwischt und würde mich auch über einen verweis, für einen sicheren "Neueste Beiträge" sehr freuen.

Dieses Plugin, funktioniert sowohl in der 1.6 und in der 1.8 Version tatellos. Bisher sind da keine gravierende Mängel bekannt.

Desweiteren möchte ich gerne eine shoutbox meinen User anbieten aber habe bis jetzt nichts anständiges gefunden und bin mir da echt unsicher welche doch derzeit auf dem aktuellsten stand ist und keinerlei lücken aufweist. Kann mir da ein erfahrener User mir einen sicheren Shoutbox empfehlen?


Meine größte Sorgen ist derzeit das man zu leicht eine Shell hochladen könnte, die "Neuesten Themen" sehr instabil und lücken aufweisen würde und ich das nicht mitbekomme und welcher Plugin für eine Shoutbox bis heute noch standhaft geblieben ist.

Dazu kann ich dir diese nur ans Herz legen. https://www.mybb.de/forum/thread-20619-p...#pid205051

Fraglich ist auch die endungen in der URL in den Themen zb forumdisplay.php?fid=7 sollte ich mir da sorgen machen da ja auf mybboard.de sowas garnicht zu sehen ist und statt fid=NR bei euch /thread-39483.html zu sehen ist.

Dies ist eine Einstellung im ACP -> Konfiguration -> Server und Optimierung ->Suchmaschinenfreundliche URLs aktivieren?

[StefanT]

Skeptisch hingegen macht mich jedoch, dass ich keine einstellung finde, wie ich dateien mit der endung wie .php oder .php.jpg deaktiveren kann. Habe nämlich keine lust in naher Zukunft geshellt zu werde.
Falls ich mich irren sollte würde ich mich über eine belehrung sehr freuen und auch Tipps um den Angreifer einen Shell upload nicht so leicht wie garnicht zu ermöglichen.

Es ist mir kein Weg bekannt einen Shell hochzuladen?

Auch würde mich aus Sicherheitsgründen der User, sehr stark interessieren ob ich irgendwelche Sicherheitsupdates bei der 2ten aktuellen Version von mybb (1.6.15) nachholen müsste oder ist das schon mit drin?

Es sind keine aktuellen Sicherheitslücken bekannt, trotzdem ist von Neuinstallationen von 1.6.15 abzuraten, da die Entwicklung eingestellt wurde und der Support dafür irgendwann endet.

[Lennart Sauter]

Ich würde auch zu MyBB 1.8.1 raten wenn es sich um eine Neuinstallation handelt. Abgesehen davon sind die meisten Plugins auf Mybb.com in Ordnung.

Abgesehen davon gilt wie immer: Software aktuell halten, Updates einspielen, sich auf dem Laufenden halten was die Community angeht. Plugins natürlich auch aktuell halten und nur aus vertrauenswürdigen Quellen beziehen.

[Adidas]

Hallo Mr.Brechreiz,

Nagut, Ihr habt mich überredet und habe mir die Version 1.8 komplett neuinstalliert. Erst ein mal ein riesen Dank für deine Antwort.

Das Plugin Overview (3.9.2) wollte ich mir gerade installieren und bekomme folgende Meldung.

"Dieses Plugin ist nicht kompatibel mit MyBB 1.8.1" EDIT: Dank https://www.mybb.de/forum/thread-20539-p...#pid203945 könnte ich das Problem kinderleicht lösen.

Nicht zu vergessen einen herzlichen Dank an dich für die Shoutbox! Genau sowas hab ich gesucht und werde dies auch mal gleich testen.

Edit: Habe die Shoutbox soeben erfolgreich installiert und aktviiert, kann sie aber auf der Startseite nicht einsehen. Müsste ich beim Index eventuell noch nen Code hinzufügen?

Suchmaschinenfreundliche URLs im Archiv aktivieren? ist bei mir auf "Ja" aus testweise hab ich es mal auf Nein gestellt, bekomme aber weiterhin oben in der URL "orumdisplay.php?fid=2"

----------------------

Hallo StefanT,

Habe mich dazu entschieden die Version 1.8 zu installieren.

Eine Shell könnte man doch zum beispiel über das Avatar system hochladen können, kenne mich aber da auch nicht so richtig aus.

Habe nur die befürchtung das ich was vergesse und Angreifer kinderleicht eine Shell hochladen können als bild getarnt PHP.JPG (beispiel die c99 shell)


-----------------------


Hi Lennart Sauter ,

Danke für deine Tipps, die Software 1.8 sollte ja nun genug aktuell sein . Müsste ich aber jetzt noch eventuell paar Updates draufladen oder ist es schon alles in der Version 1.8 inbegriffen.

Wie gehe ich am besten vor um die Plugins auf den aktuellsten stand zu halten, beispiel ist ja das overview plugin seit 2010 zuletzt mal geupdatet.


Danke euch allen für eure Antworten, habe an eurer Software echt gefallen gefunden und bin schon stunden lang am lernen

[Juventiner]

Hallo,

Die Version 1.8.1 ist die aktuellste, da gibt es noch keine Updates für. Es wird aber in regelmäßigen abständen 1-4 Monate ca. Updates geben welche Fehler beheben und Sicherheitslücken beheben.

Bezüglich der Plugins wäre selbst anpassen ggf am besten wenn du da irgendwelche Fehler findest und es mehrere Jahre keine Updates gab. Die Plugins werden von interessierten wie bspw. von mir auch entwickelt. Wenn ein User irgendwann keine Lust mehr darauf hat, dann wird er auch keine Updates mehr veröffentlichen.

Du kannst ja aber mal gucken, ob der Uploader des Plugins noch in der Community aktiv ist, und wenn ja ihn mal anschreiben.

[MrBrechreiz]

Das Übersichts Plugin ist entweder Schrott, oder bis dato so gut geschrieben, das es keine sicherheitsrelevante Updates benötigt.

[StefanT]

Habe nur die befürchtung das ich was vergesse und Angreifer kinderleicht eine Shell hochladen können als bild getarnt PHP.JPG (beispiel die c99 shell)

Das ist eine reine Sache der Serverkonfiguration. Bilder sollten zwar standardmäßig nie als PHP-Datei interpretiert werden, aber bei einer Fehlkonfiguration ist das durchaus möglich.

[Lennart Sauter]

Hi Lennart Sauter ,

Danke für deine Tipps, die Software 1.8 sollte ja nun genug aktuell sein . Müsste ich aber jetzt noch eventuell paar Updates draufladen oder ist es schon alles in der Version 1.8 inbegriffen.

Wie gehe ich am besten vor um die Plugins auf den aktuellsten stand zu halten, beispiel ist ja das overview plugin seit 2010 zuletzt mal geupdatet.

Ich würde ja empfehlen nur Plugins, die auch aktiv von den Autoren gewartet und geupdatet werden zu verwenden. Da gibt es immer mal wieder Probleme... beispielsweise sind die meisten MyBBCentral.com Plugins noch auf dem Stand von MyBB 1.4.

Ich installiere Plugins aktuell eigentlich nur wenn der Autor sie bereits für 1.8 geupdatet hat. Andernfalls mache ich das - mit Sicherheitsüberprüfung - selbst (z.Bsp. bei MybbCentral.com Plugins).