phpbb and security

August 31st, 2006. Tagged: phpBB

Man, do I have a lot of todos! I was going through my posting drafts on this blog and found this 1 year old piece (from Aug 10th, 2005). I remember I was responding to this blog posting, but at some point I desided that I don't have the time to finish it, so I saved it as a draft. Well, one year was not enough to finish it, so here is the a draft as part of my postings cleanup.

--

Nice posting, thanks! I just want to add something on the phpBB part of it. OK, PHP is the most popular, compared to the other web languages, hence the most security issues with it. Well, I can apply the same logic to phpBB and phpMyAdmin. Everybody uses phpMyAdmin and phpBB is probably the most popular BB package out there. phpBB is an open (therefore exposed) source package and being also a bulletin board package makes it a nice target. Any BB site out there has has its kids that hate it and want it hacked, defaced, DB-emptied, userbase-exposed or otherwise dead. So they start digging every single regexp looking for a "door". And they find it, one after the other. It's normal, we all know that there's no such thing as a secure or bug-free software.

I don't say that phpBB's code is perfect (is there a perfect code?!), but I don't think phpBB should pay for all the sins of all PHP devs out there. We all make mistakes, that's nature. And it's not nice to call each other names in such situations. Two examples - PEAR's recent XML_RPC expliot (you cannot say that Stig Bakken can't hack in PHP) and a blog posting about some omissions in this PHP security guide!

--

Update from Aug 31st, 2006:
I really like this piece Harry Fuecks wrote ovet at SitePont. Hopefully the "war" is over and people no longer point fingers at each other, but learn from each other's mistakes instead.

Being able to see many shades of grey rather than black and white could be another point to add to the ideal profile. PHP (and security) is a good case in point—what strikes you as a smarter response: screaming PHP sucks or understanding that it’s popular and doing something to improve the situation?

Tell your friends about this post: Facebook, Twitter, Google+

7 Responses

  1. All good points. Some differences.

    1) Actually I was invoking Meltcalf’s Law as a defense sarcastically. I hope that is clear.

    2) PEAR’s XML_RPC exploit just shows that PEAR has the same deficiencies as any other project. I’m quick to make fun of it too. BTW, XML_RPC was just a straight port of another XMLRPC library to fit it into PEAR, I don’t think a code audit was done. After that, Stig had nothing to do with it and I distinctly remember it and the SOAP library languishing forever.

    3) My issue with phpbb was how they handled what was clearly a regression on their end. The fact that it has “PHP” in their name causes a confusion in enterprises between the applications build on the language and the language itself. Note, I’m not advocating that phpbb change it’s name…Pandora’s box is open. Deal.

    4) As for the blog posting of omissions in the Security Guide from the PHP Security Consortium, I remember it well and thinking that it should be addressed if true. In fact, my point in general is that the community should take security more seriously and act quicker on problems because the language is going to encourage sloppy coding.

    However, Stefan Esser has his own agenda, and he’s a bitter young man at times. He’d get more bees with honey than with his abrasive manner.

  2. Dont touch WIKILEAKS, faked DEMOCRACY!!!
    Hope for answer

  3. Road to the Truth can be found at the following address: truenewworld.com
    (attention, it is not the ad of the site – it is the ad of the Truth).

  4. ya

  5. ыл окно. Она нагнулась в окошко так что я увидел ее груди без бюстгальтера и попросила подвезти ее. Увидев ее торчащие коричневые соски , в груди у меня все сжалось и я с трудом выдавил из себя слова. Она обошла машину и села на переднее сидение.
    опускался все ниже по ее животику проводя своим горячем язычком от ее сосков
    после того как мне отказала девушка лишь по причине, что она не хочет, что бы у неё лизал курящий человек. Второе, к сожалению тоже, так как в нашей дыре сложно найти не закомплексованную девушку.
    всё чаще и чаще падал на её личико, и порой она ловила его, и смущённо улыбалась, а

    Я не стал ослушиваться, встал на колени подполз, взял зубами его за один край, и начал вводить его в её дырочку. Она раздвинула пальчиками свои половые губки и начала получать удовольствие. Я стою раком перед ней, держу в зубах её игрушку и надрачиваю её кису.
    - Быстрее, быстрее! – приказывает она мне.

    друга. Я думаю, они оба сейчас этого хотят. Я только представила эту картину, и ощутила, как моя киска начала увлажнятся от возбуждения.

    Когда танец закончился, я позвала мужа под предлогом помощи в комнату и изложила

    Сергей усердствовал над Олькой, он спускался поцелуями вниз к её лону. Достигнув граница
    добрая, правда признаюсь, что не всегда такой бываю. По всей вероятности эта самая жесткость передалась мне от мамы, она всю

    Наверное в меня уже въелась эта деловая жизнь, я так привыкла носить свой костюм, что порой
    Девушки многие по мне сходили с ума и как говорят, писались кипятком. Но это всё вступление и проза, те девушки, которые по мне сходили с ума и с которыми я забавлялся, были не способны на то, что произошло совсем неожиданно

    Виталик был моим лучшим другом с самого раннего детства. Я конечно имела на него некоторые планы,
    и это тоже подбавляло масла в огонь. Плавно его рука скользнула к застежке бюстгалтера, по

    - Какие салфетки??? Это темпоральное токсическое вещество! Быстро в душ, говорю. – я схватил ее за локоть и потащил в ванную комнату. |

    - Ты извини, но надо еще намазать тело кремом. Ну, – я замялся, – точнее красные разводы.
    Вика промолчала.

  6. uxuocpjppu

    [url=http://pet-audio.file-ns.pp.ua/lgjow.html]Within temptation ноты скачать[/url]
    [url=http://suhprw-html.file-ns.pp.ua/wckodc.html]Инфляция реферат скачать бесплатно[/url]
    [url=http://ski-995.file-ns.pp.ua/kr.html]Учим французский вместе / Apprenons le francais ensemble.mр3[/url]
    [url=http://california-fgtd.file-ns.pp.ua/zat.html]Dota 6.72 ai торрент[/url]
    [url=http://bill-ppjm.file-ns.pp.ua/cq.html]Медико экономические стандарты реферат[/url]
    [url=http://losangeles-626.file-ns.pp.ua/fkrp.html]Руководство по ремонту хундай соната[/url]
    [url=http://sound-797.file-ns.pp.ua/plz.html]Инструкция по ремонту мерседес[/url]
    [url=http://star-ylgfq.file-ns.pp.ua/qsjps.html]Учебное пособие рынок труда[/url]
    [url=http://enwr.file-ns.pp.ua/]2 40 Диагностическая лапароскопия.rаr 87 5[/url]
    [url=http://isp-california.file-ns.pp.ua/sojkk.html]Налоговое право[/url]
    [url=http://xoy-start.file-ns.pp.ua/rhquwf.html]Игра говорящий кот том на нокиа 603[/url]
    [url=http://563-atlanta.file-ns.pp.ua/jytqs.html]Http://www.hddunlock.com/download/[/url]

    fsnolxuqos

    Hello World

  7. Где взять? Может тут кто знает??? подскажите

Leave a Reply