phpBB Türkiye

Phpbb'nin önceki serisinde ctracker adlı üçüncü parti bir güvenlik eklentisi vardı. Peki şimdi durum nasıl? Phpbb3 güvenliği için yine mutlaka üçüncü bir parti güvenlik eklentisine gerek duyuluyormu veya böyle bir eklenti var mı? Yok ise phpbb3 kendi içinde güvenlik açısından ne gibi önlemler geliştirmiş öğrenmek isterim.

Teşekkürler.

O konuyu biliyorum, konu açmadan önce mutlaka arama yaparım; fakat o konuda phpbb3 ile gelen güvenlik önlemleri adına tatmin edici birşey bulamadım. O yüzden yeni konu açtım.

Madem o konuyu biliyordunuz, orada bahsedilenler
forum, forum/store/, forum/cache/, forum/images/avatars/upload/ klasörlerinde olan
.htaccess
ve ana dizin dışındaki diğer 3 dizinde olan index.html dosyaları, yanısıra da 644, 755, 777 vb izinleri. Bunlar dışında dikkat etmemiz gereken başka bir durum var mı?
Başka bir deyişle, phpbb3 de güvenlik önlemleri adına bir kaygınız, dikkat ettiğiniz bir nokta varsa, nedir?
Güvenlik önlemleri adına tatmin edici gelişme örnek olarak ne olabilir?

Tamamda onlar neredeyse tüm bulletin sistemlerde alınan bilinen önlemler. Bulletin sisteme de gerek yok. Wordpress kullanıyorsan da tema'nın çalınmaması için ya da admin paneline kolay erişilmemesi için aynı benzer yolları uygularsın. Güvenlik deyince de sadece bunlar gelmemeli akla. Mesela;
Worm ve exploit koruması adına neler geliştirildi?
SQL injection için neler geliştirildi?
Ip, Proxy, userAgent bloklama sistemi var mı?
Saldırı sayacı var mı veya saldıların logunu tutan bir mekanizma?
Ziyaretçinin arama yaparkenki flood saldırıları için neler geliştirildi?
Çoklu hesap kullanımını denetlemek için belli ip aralığı scan etme özelliği geliştirildi mi?
Spam ile ilgili neler geliştirildi?
Zombie saldırıları?

Daha sayayım mı?

Biz bunların eksikliğini çektiğimiz için phpbb 2x serisinde CrackerTracker kullanıyorduk değil mi?

Düzenleme: Mutlaka birşeyler geliştirildi tabi, karalamak için böyle bir konu açmıyorum. Çok eski bir phpbb kullanıcısıyım ve phpbb3 ile tekrar sahalara dönme taraftarayım Ben sadece güvenlik ile ilgili "changelog" misali birşeyler arıyorum ama bulamıyorum

Düzenleme2:Aynı konuyu phpbb resmi forumlarında da açtım ve yetkililerin sadece birinden;

Security fixes are included within the regular changelog, Prefixed with [sec]

gibi komik bir cevap aldım. Yani ne diyor, güvenlik açıkları sürüm güncellemelerinde başlarında [sec] takısı ile yazılıyor. E ben bunu sormuyorum ki, onlar phpbb3 geliştirilirken, yeni sürüme geçilirken, bir önceki sürümde yapılan güvenlik hatalarının düzenlenmesini gösteriyor. Ben güvenlik adına yeni özellikler nelerdir onu soruyorum. Yani diğer bir deyiş ile güvenlik adına [Feature] takılı gelişimleri liste halinde merak ediyorum. Hala cevap yok orada da . Bakalım bekliyorum bu sır gibi saklanan güvenlik yeniliklerini

Bir çin atasözü ile başlayayım, "En güvenli bilgisayar fişi çekik olandır"

"Bu tür bir soruya sadece phpBB2 yi ezelden beri bilen, phpBB2.2 ve 2.2M seviyelerini area51.phpbb.com da takip eden, 2.2M'den neden vazgeçilip 3.0'a neden atlanıldığını bilen, 3.0 sürümünü beta1 den Gold sürüme kadar tüm değişiklikleri izleyen biri cevap verebilir."

Yukarıdaki kritere uyan az kişi var ( phpBB geliştiricilerinin yeni nesli dahil 3.0 da katıldı ). Bunlardan Türkçe konuşan tek kişi de benim. Ancak çoğu soruyu geçiştireceğim sanırım...
------------------------------------------------------------------------------------

Çok ince detaylara girmeden yazmaya çalışacağım...


"Worm" kelimesi kullanılmış, worm için phpBB yazılımının bir önlem alması pek mümkün görünmüyor. Çünkü worm işletim sistemi açığından faydalanır ve örnek vermek gerekirse son zamanlarda sık görülen, kısaca "frame virüsü" dediğimiz, html, php gibi text tabanlı dosyalara bulaşan bir worm.


Exploit ve SQL injection kısımlarına gelelim. phpBB3, php5 destekli olarak geliştirildi. php.ini de yanlış ayarlanmış olabilecek, safe_mode, register_long_arrays, register_globals gibi kriterler için daha çekirdek yapıda bazı önlemler var ( common.php de register_globals açık ise pasif et vb. ).

Formlardan gelen bilgileri almak için saf $_GET[] yerine gelen değerleri alan request_var() fonksiyonu ve bu fonksiyona gelen değerleri ince süzgeçten geçiren uzantısı set_var() fonksiyonları eklendi .( htmlspecialchars, stripslashes, multibyte character vb. )

Flood açısından; formlar için, phpBB2 ye son anda yamalanan bir form kontrolcüsü eklendi, bu kontrolcü kullanıcının geldiği sayfadan tanımlanıyor ve o anda formu o kullanıcının gönderdiği karşılaştırılıyor. Bildiğimiz flood aralığı yine mevcut elbet.


Yönetim panelinde "Güvenlik ayarları" diye bir kısım var, seçeneklere bakarsak: Oturum için IP kontrolü ve onaylama, user_agent doğrulama (spoof edilebilir hala), X_FORWARDED_FOR yani proxy kontrolü, IP nin DNS blacklist kontrolü, kayıt olunan e-posta adresinin MX kaydının kontrolü, ve diğerleri.

Spam ile ilgili neler geliştirildi, Görsel doğrulama olayında "noise" yani kirlilik seviyesi dahil birçok özellik ayarlanıp okunması zorlaştırılabiliyor. Yukarlarrda yazdığım oturum tabanlı form kontrolü var bir de.

Bu ve bunun gibi pek çok önlem ve ayarı yönetim panelini gezerek görebilirsiniz...


Ip, Proxy, userAgent bloklama sistemi var mı? IP bloklama var elbet, proxy ile ilgili gördüğüm sadece proxy tespit edildiğinde otomatik IP ye ban atılabilir. user_agent bloklamayı phpBB Türkiye ekibi arasında konuşmuştuk, IP bloklama yanında olmalıydı.

Saldırı sayacı yok, ancak; admin, mod, user, hatalar şeklinde 4 seviye loglama özelliği var, yapılan hemen hemen her işlem loglanır.

Ziyaretçinin arama yaparkenki flood saldırıları için neler geliştirildi? "Arama ayarları" yazan kısmıma tıkla bir sürü seçenek göreceksin. Arama flood zamanından, aramanın işlemci load derecesine kadar. Önbellek bile mevcut.

"Çoklu hesap kullanımını denetlemek için belli ip aralığı scan", kayıtta tek özellik aynı e-posta adresi ile 2. üyelik kontrolü. Belirli IP aralığı taramak, fazla abartmışsınız, class c içinde ikinci kullanıcı kayıt mı olamayacak? IP değiştirir yine kayıt olur.

Zombie saldırıları? Yuh! daha neler, bu konuyu host firması ile görüşün, DDOS için firewall, router birşey kursunlar.


CHMOD olayına girmiyorum, bence 777 her zaman bir risk taşır.



Şimdilik bu kadar, yönetim paneline baktıkça çoğu şeyi geçiştirmiş olabilirim, paneli iyice incelerseniz geminin su üstündeki kısmına görebilirsiniz.

Alexis, tatmin edici cevabın için teşekkür ederim.

bunu phpBB 3 özellikleri için bir yazı şeklinde yayınlayabiliriz...

Özellik ve karşılaştırma listelerini phpBB.com dan alıp tercüme etmiştik: hakkinda/phpbb-ozellikleri.html

Ancak görülüyor ki, "neler gelişti" altında, 5-6 satır da olsa "güvenlik" başlığı da olmalıymış.

arkadaslar, bu CHMOD olayinda en güvenilir ve kesinliklede sorunsuz calisan ayar hangisidir?
yani hangi kategorilere hangi CHMOdu önerirsiniz?