Bir çin atasözü ile başlayayım, "En güvenli bilgisayar fişi çekik olandır"
"Bu tür bir soruya sadece phpBB2 yi ezelden beri bilen, phpBB2.2 ve 2.2M seviyelerini area51.phpbb.com da takip eden, 2.2M'den neden vazgeçilip 3.0'a neden atlanıldığını bilen, 3.0 sürümünü beta1 den Gold sürüme kadar tüm değişiklikleri izleyen biri cevap verebilir."
Yukarıdaki kritere uyan az kişi var
( phpBB geliştiricilerinin yeni nesli dahil 3.0 da katıldı ). Bunlardan Türkçe konuşan tek kişi de benim. Ancak çoğu soruyu geçiştireceğim sanırım...
------------------------------------------------------------------------------------
Çok ince detaylara girmeden yazmaya çalışacağım...
"Worm" kelimesi kullanılmış, worm için phpBB yazılımının bir önlem alması pek mümkün görünmüyor. Çünkü worm işletim sistemi açığından faydalanır ve örnek vermek gerekirse son zamanlarda sık görülen, kısaca "frame virüsü" dediğimiz, html, php gibi text tabanlı dosyalara bulaşan bir worm.
Exploit ve SQL injection kısımlarına gelelim. phpBB3, php5 destekli olarak geliştirildi. php.ini de yanlış ayarlanmış olabilecek, safe_mode, register_long_arrays, register_globals gibi kriterler için daha çekirdek yapıda bazı önlemler var ( common.php de register_globals açık ise pasif et vb. ).
Formlardan gelen bilgileri almak için saf $_GET[] yerine gelen değerleri alan request_var() fonksiyonu ve bu fonksiyona gelen değerleri ince süzgeçten geçiren uzantısı set_var() fonksiyonları eklendi .( htmlspecialchars, stripslashes, multibyte character vb. )
Flood açısından; formlar için, phpBB2 ye son anda yamalanan bir form kontrolcüsü eklendi, bu kontrolcü kullanıcının geldiği sayfadan tanımlanıyor ve o anda formu o kullanıcının gönderdiği karşılaştırılıyor. Bildiğimiz flood aralığı yine mevcut elbet.
Yönetim panelinde "Güvenlik ayarları" diye bir kısım var, seçeneklere bakarsak: Oturum için IP kontrolü ve onaylama, user_agent doğrulama (spoof edilebilir hala), X_FORWARDED_FOR yani proxy kontrolü, IP nin DNS blacklist kontrolü, kayıt olunan e-posta adresinin MX kaydının kontrolü, ve diğerleri.
Spam ile ilgili neler geliştirildi, Görsel doğrulama olayında "noise" yani kirlilik seviyesi dahil birçok özellik ayarlanıp okunması zorlaştırılabiliyor. Yukarlarrda yazdığım oturum tabanlı form kontrolü var bir de.
Bu ve bunun gibi pek çok önlem ve ayarı yönetim panelini gezerek görebilirsiniz...
Ip, Proxy, userAgent bloklama sistemi var mı? IP bloklama var elbet, proxy ile ilgili gördüğüm sadece proxy tespit edildiğinde otomatik IP ye ban atılabilir. user_agent bloklamayı phpBB Türkiye ekibi arasında konuşmuştuk, IP bloklama yanında olmalıydı.
Saldırı sayacı yok, ancak; admin, mod, user, hatalar şeklinde 4 seviye loglama özelliği var, yapılan hemen hemen her işlem loglanır.
Ziyaretçinin arama yaparkenki flood saldırıları için neler geliştirildi? "Arama ayarları" yazan kısmıma tıkla bir sürü seçenek göreceksin. Arama flood zamanından, aramanın işlemci load derecesine kadar. Önbellek bile mevcut.
"Çoklu hesap kullanımını denetlemek için belli ip aralığı scan", kayıtta tek özellik aynı e-posta adresi ile 2. üyelik kontrolü. Belirli IP aralığı taramak, fazla abartmışsınız, class c içinde ikinci kullanıcı kayıt mı olamayacak? IP değiştirir yine kayıt olur.
Zombie saldırıları? Yuh! daha neler, bu konuyu host firması ile görüşün, DDOS için firewall, router birşey kursunlar.
CHMOD olayına girmiyorum, bence 777 her zaman bir risk taşır.
Şimdilik bu kadar, yönetim paneline baktıkça çoğu şeyi geçiştirmiş olabilirim, paneli iyice incelerseniz geminin su üstündeki kısmına görebilirsiniz.