Web sayfamız sadece phpBB 3.0.x sürümlerine destek vermektedir. Konu açmadan, ileti yazmadan önce lütfen site kuralları sayfamıza göz atınız.

phpbb3 ve güvenlik

phpbb3 ve güvenlik

İleti bulletiner 07 Oca 2008 19:21

Phpbb'nin önceki serisinde ctracker adlı üçüncü parti bir güvenlik eklentisi vardı. Peki şimdi durum nasıl? Phpbb3 güvenliği için yine mutlaka üçüncü bir parti güvenlik eklentisine gerek duyuluyormu veya böyle bir eklenti var mı? Yok ise phpbb3 kendi içinde güvenlik açısından ne gibi önlemler geliştirmiş öğrenmek isterim.

Teşekkürler.
bulletiner
kullanıcı
kullanıcı

İleti: 14
Kayıt: 28 Kas 2007 00:27
HTML: Çok iyi
CSS: Çok iyi
PHP: Orta
phpBB3: Çok iyi
Sürüm: phpBB3.RC7

Re: phpbb3 ve güvenlik

İleti mc_kelleci 07 Oca 2008 19:24

mc_kelleci
kullanıcı
kullanıcı

İleti: 91
Kayıt: 27 Ağu 2007 01:13
HTML: Orta
CSS: Başlangıç
PHP: Başlangıç
phpBB3: Başlangıç
Sürüm: phpbb3.0.0 gold

Re: phpbb3 ve güvenlik

İleti bulletiner 07 Oca 2008 20:01

O konuyu biliyorum, konu açmadan önce mutlaka arama yaparım; fakat o konuda phpbb3 ile gelen güvenlik önlemleri adına tatmin edici birşey bulamadım. O yüzden yeni konu açtım.
bulletiner
kullanıcı
kullanıcı

İleti: 14
Kayıt: 28 Kas 2007 00:27
HTML: Çok iyi
CSS: Çok iyi
PHP: Orta
phpBB3: Çok iyi
Sürüm: phpBB3.RC7

Re: phpbb3 ve güvenlik

İleti ysl52 07 Oca 2008 20:54

Madem o konuyu biliyordunuz, orada bahsedilenler
forum, forum/store/, forum/cache/, forum/images/avatars/upload/ klasörlerinde olan
.htaccess
ve ana dizin dışındaki diğer 3 dizinde olan index.html dosyaları, yanısıra da 644, 755, 777 vb izinleri. Bunlar dışında dikkat etmemiz gereken başka bir durum var mı?
Başka bir deyişle, phpbb3 de güvenlik önlemleri adına bir kaygınız, dikkat ettiğiniz bir nokta varsa, nedir?
Güvenlik önlemleri adına tatmin edici gelişme örnek olarak ne olabilir?
ysl52
tercüme
tercüme

Kullanıcı avatarı

İleti: 1223
Kayıt: 07 Arl 2007 00:07
Konum: İstanbul
HTML: Başlangıç
CSS: Başlangıç
PHP: Orta
phpBB3: Orta
Sürüm: phpBB 3.0.7-PL1

Re: phpbb3 ve güvenlik

İleti bulletiner 07 Oca 2008 21:08

Tamamda onlar neredeyse tüm bulletin sistemlerde alınan bilinen önlemler. Bulletin sisteme de gerek yok. Wordpress kullanıyorsan da tema'nın çalınmaması için ya da admin paneline kolay erişilmemesi için aynı benzer yolları uygularsın. Güvenlik deyince de sadece bunlar gelmemeli akla. Mesela;
Worm ve exploit koruması adına neler geliştirildi?
SQL injection için neler geliştirildi?
Ip, Proxy, userAgent bloklama sistemi var mı?
Saldırı sayacı var mı veya saldıların logunu tutan bir mekanizma?
Ziyaretçinin arama yaparkenki flood saldırıları için neler geliştirildi?
Çoklu hesap kullanımını denetlemek için belli ip aralığı scan etme özelliği geliştirildi mi?
Spam ile ilgili neler geliştirildi?
Zombie saldırıları?

Daha sayayım mı?

Biz bunların eksikliğini çektiğimiz için phpbb 2x serisinde CrackerTracker kullanıyorduk değil mi?

Düzenleme: Mutlaka birşeyler geliştirildi tabi, karalamak için böyle bir konu açmıyorum. Çok eski bir phpbb kullanıcısıyım ve phpbb3 ile tekrar sahalara dönme taraftarayım :) Ben sadece güvenlik ile ilgili "changelog" misali birşeyler arıyorum ama bulamıyorum :)

Düzenleme2:Aynı konuyu phpbb resmi forumlarında da açtım ve yetkililerin sadece birinden;
Security fixes are included within the regular changelog, Prefixed with [sec]

gibi komik bir cevap aldım. Yani ne diyor, güvenlik açıkları sürüm güncellemelerinde başlarında [sec] takısı ile yazılıyor. E ben bunu sormuyorum ki, onlar phpbb3 geliştirilirken, yeni sürüme geçilirken, bir önceki sürümde yapılan güvenlik hatalarının düzenlenmesini gösteriyor. Ben güvenlik adına yeni özellikler nelerdir onu soruyorum. Yani diğer bir deyiş ile güvenlik adına [Feature] takılı gelişimleri liste halinde merak ediyorum. Hala cevap yok orada da . Bakalım bekliyorum bu sır gibi saklanan güvenlik yeniliklerini :)
bulletiner
kullanıcı
kullanıcı

İleti: 14
Kayıt: 28 Kas 2007 00:27
HTML: Çok iyi
CSS: Çok iyi
PHP: Orta
phpBB3: Çok iyi
Sürüm: phpBB3.RC7

Re: phpbb3 ve güvenlik

İleti ALEXIS 08 Oca 2008 16:03

Bir çin atasözü ile başlayayım, "En güvenli bilgisayar fişi çekik olandır" :mrgreen:

"Bu tür bir soruya sadece phpBB2 yi ezelden beri bilen, phpBB2.2 ve 2.2M seviyelerini area51.phpbb.com da takip eden, 2.2M'den neden vazgeçilip 3.0'a neden atlanıldığını bilen, 3.0 sürümünü beta1 den Gold sürüme kadar tüm değişiklikleri izleyen biri cevap verebilir."

Yukarıdaki kritere uyan az kişi var ( phpBB geliştiricilerinin yeni nesli dahil 3.0 da katıldı ). Bunlardan Türkçe konuşan tek kişi de benim. Ancak çoğu soruyu geçiştireceğim sanırım...
------------------------------------------------------------------------------------

Çok ince detaylara girmeden yazmaya çalışacağım...


"Worm" kelimesi kullanılmış, worm için phpBB yazılımının bir önlem alması pek mümkün görünmüyor. Çünkü worm işletim sistemi açığından faydalanır ve örnek vermek gerekirse son zamanlarda sık görülen, kısaca "frame virüsü" dediğimiz, html, php gibi text tabanlı dosyalara bulaşan bir worm.


Exploit ve SQL injection kısımlarına gelelim. phpBB3, php5 destekli olarak geliştirildi. php.ini de yanlış ayarlanmış olabilecek, safe_mode, register_long_arrays, register_globals gibi kriterler için daha çekirdek yapıda bazı önlemler var ( common.php de register_globals açık ise pasif et vb. ).

Formlardan gelen bilgileri almak için saf $_GET[] yerine gelen değerleri alan request_var() fonksiyonu ve bu fonksiyona gelen değerleri ince süzgeçten geçiren uzantısı set_var() fonksiyonları eklendi .( htmlspecialchars, stripslashes, multibyte character vb. )

Flood açısından; formlar için, phpBB2 ye son anda yamalanan bir form kontrolcüsü eklendi, bu kontrolcü kullanıcının geldiği sayfadan tanımlanıyor ve o anda formu o kullanıcının gönderdiği karşılaştırılıyor. Bildiğimiz flood aralığı yine mevcut elbet.


Yönetim panelinde "Güvenlik ayarları" diye bir kısım var, seçeneklere bakarsak: Oturum için IP kontrolü ve onaylama, user_agent doğrulama (spoof edilebilir hala), X_FORWARDED_FOR yani proxy kontrolü, IP nin DNS blacklist kontrolü, kayıt olunan e-posta adresinin MX kaydının kontrolü, ve diğerleri.

Spam ile ilgili neler geliştirildi, Görsel doğrulama olayında "noise" yani kirlilik seviyesi dahil birçok özellik ayarlanıp okunması zorlaştırılabiliyor. Yukarlarrda yazdığım oturum tabanlı form kontrolü var bir de.

Bu ve bunun gibi pek çok önlem ve ayarı yönetim panelini gezerek görebilirsiniz...


Ip, Proxy, userAgent bloklama sistemi var mı? IP bloklama var elbet, proxy ile ilgili gördüğüm sadece proxy tespit edildiğinde otomatik IP ye ban atılabilir. user_agent bloklamayı phpBB Türkiye ekibi arasında konuşmuştuk, IP bloklama yanında olmalıydı.

Saldırı sayacı yok, ancak; admin, mod, user, hatalar şeklinde 4 seviye loglama özelliği var, yapılan hemen hemen her işlem loglanır.

Ziyaretçinin arama yaparkenki flood saldırıları için neler geliştirildi? "Arama ayarları" yazan kısmıma tıkla bir sürü seçenek göreceksin. Arama flood zamanından, aramanın işlemci load derecesine kadar. Önbellek bile mevcut.

"Çoklu hesap kullanımını denetlemek için belli ip aralığı scan", kayıtta tek özellik aynı e-posta adresi ile 2. üyelik kontrolü. Belirli IP aralığı taramak, fazla abartmışsınız, class c içinde ikinci kullanıcı kayıt mı olamayacak? IP değiştirir yine kayıt olur.

Zombie saldırıları? Yuh! daha neler, bu konuyu host firması ile görüşün, DDOS için firewall, router birşey kursunlar.


CHMOD olayına girmiyorum, bence 777 her zaman bir risk taşır.



Şimdilik bu kadar, yönetim paneline baktıkça çoğu şeyi geçiştirmiş olabilirim, paneli iyice incelerseniz geminin su üstündeki kısmına görebilirsiniz.
ALEXIS
yönetici
yönetici

Kullanıcı avatarı

İleti: 3628
Kayıt: 03 Arl 2006 08:57
HTML: Çok iyi
CSS: İyi
PHP: İyi
phpBB3: Çok iyi
Sürüm: phpBB 3

Re: phpbb3 ve güvenlik

İleti bulletiner 08 Oca 2008 19:45

Alexis, tatmin edici cevabın için teşekkür ederim.
bulletiner
kullanıcı
kullanıcı

İleti: 14
Kayıt: 28 Kas 2007 00:27
HTML: Çok iyi
CSS: Çok iyi
PHP: Orta
phpBB3: Çok iyi
Sürüm: phpBB3.RC7

Re: phpbb3 ve güvenlik

İleti sabri ünal 09 Oca 2008 13:07

bunu phpBB 3 özellikleri için bir yazı şeklinde yayınlayabiliriz...
sabri ünal
kullanıcı
kullanıcı

Kullanıcı avatarı

İleti: 647
Kayıt: 06 Nis 2007 11:08
İsim: sabri ünal
HTML: İyi
CSS: Başlangıç
PHP: Başlangıç
phpBB3: Başlangıç
Sürüm: phpbb3 CVS

Re: phpbb3 ve güvenlik

İleti ALEXIS 09 Oca 2008 13:58

Özellik ve karşılaştırma listelerini phpBB.com dan alıp tercüme etmiştik: hakkinda/phpbb-ozellikleri.html

Ancak görülüyor ki, "neler gelişti" altında, 5-6 satır da olsa "güvenlik" başlığı da olmalıymış.
ALEXIS
yönetici
yönetici

Kullanıcı avatarı

İleti: 3628
Kayıt: 03 Arl 2006 08:57
HTML: Çok iyi
CSS: İyi
PHP: İyi
phpBB3: Çok iyi
Sürüm: phpBB 3

Re: phpbb3 ve güvenlik

İleti noteviz 11 Oca 2008 20:24

arkadaslar, bu CHMOD olayinda en güvenilir ve kesinliklede sorunsuz calisan ayar hangisidir?
yani hangi kategorilere hangi CHMOdu önerirsiniz?
noteviz
kullanıcı
kullanıcı

İleti: 60
Kayıt: 02 Arl 2007 00:49
HTML: İyi
CSS: Başlangıç
PHP: Orta
phpBB3: Orta
Sürüm: phpBB3

Sonraki

phpBB3 Güvenliği


Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron