https://www.opennet.ru/openforum/vsluhforumID3/48959.html Сообщается (http://area51.phpbb.com/phpBB/viewtopic.php?f=71&t=29973) о взломе инфраструктуры проекта phpBB (http://phpbb.com/), сайт которого остается заблокированным с воскресенья. Используя брешь в безопасности модуля PHPList (http://www.phplist.com/) злоумышленникам удалось перехватить базу в 400 тысяч аккаунтов пользователей форума. Атаковавшим удалось (http://www.theregister.co.uk/2009/02/04/phpbb_breach/) восстановить из MD5 хешей около 28 тыс. паролей, которые в последующем были опубликовали в сети, вместе адресами электронной почты и персональными данными пользователей.<br><br><br><br>Команда разработчиков сообщает, что в самом коде форума phpBB неисправленные уязвимости отсутствуют и проблема касается только приложения PHPList, используемого в проекте для работы с почтовой рассылкой.<br><br>URL: http://www.theregister.co.uk/2009/02/04/phpbb_breach/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=20129<br> https://www.opennet.ru/openforum/vsluhforumID3/48959.html#126 Wed, 18 Feb 2009 15:18:59 GMT &gt; А какая разница пэхапэбиби это или джумла <br><br>Вот для этих двух пруфлинки на чтонить серьезное плиз.И не надо на левые сторонние моды, модули, аддоны, хреноны и прочая.Пруфлинки давайте.На дырки в самих этих проектах, в стоковом варианте.Чтобы вот из коробки поставили жумлу или пыхбб и тут фигакс - и сплойт на это дело.Ну хоть sql-инжекшн.Лучше пхп-инжекшн (это правда уже совсем мечты).Лажа типа XSS менее интересна.<br><br>&gt;или еще что-нибудь на пэхапэ, дырявые они все, понимаешь?<br><br>Не понимаю.Пруфлинки где?Анонимнй лох выложил вон "пруфлинки".Как оказалось - на какой-то левак - один сплойт на какой-то мод а второй на какой-то бук для пыхбб.Да, каким-то боком оно относится к пхпбб но это не собственно стоковый пхпбб.Позорники, бэть.<br><br>&gt;Нет в пэхапэ защиты никакой, <br><br>Ну вообще-то пыхбб3 аудитили код у конторы занимающейся этим.И им это явно помогло - заметьте, дыр в собственно *пыхбб 3* что-то не видно.Особенно злых и страшных.Я помню что было в пыхбб 2.А в пыхбб 3 такого почему-то нет.Видимо, они умеют учиться https://www.opennet.ru/openforum/vsluhforumID3/48959.html#125 Wed, 18 Feb 2009 14:49:32 GMT &gt;set password=sha1(md5('password'))<br><br>Кстати вполне себе вариант.Единственное что мне не очень нравится идея раздувать 128 битный md5 до 160 (если не вру) битов sha1, но это скорее всего уже эстетство: общая сложность против брутфорса у такой конструкции будет все-таки порядка 2^128 (число всех возможных вариантов на выходе MD5) а вовсе не 2^160 (что вы там не делайте а 128 битов результата md5 до 160 ну никак не распухнут - 128-битное пространство реденько размажется отдельными точками по 160-битному).А вот хэш при хранении будет жрать уже 160 битов, что не есть эффективно (получили что надо хранить 160 битов результата а в плане перебора они будут стойки лишь как 128 битов, как я понимаю).Сам перебор ессно несколько притормозится из-за двойного хэширования + готовые таблицы хаксорам не помогут, это разумеется гут.<br> https://www.opennet.ru/openforum/vsluhforumID3/48959.html#124 Wed, 18 Feb 2009 14:31:06 GMT &gt;Из избраного: <br>&gt;http://milw0rm.com/exploits/7386 <br><br>Это чо, оно требует какой-то левый мод пыхпббы?В сад.Или даже в зад.Вы стоковый пыхпыхбыбы сломайте а не какую-то левую хрень.Вот это будет круто и злобно.А так - в сад.<br><br>&gt;Из вчерашнего: <br>&gt;http://milw0rm.com/exploits/7980 <br><br>Вы, простите, читать умеете?Там написано: App =&gt; PHPbbBook 1.3 <br>Это похоже на сам phpbb?Нет?Тогда, похоже на то что перед нами очередной анонимный тупень.<br><br>&gt;На сим прощаюсь, и еще раз повторюсь, PHP это одна огромная дыра. <br><br>Для дебилов повторяю: дырку в *стоковом* *phpbb* а не левых модах и аддонах покажите плиз?Мне не интересны дыры в каком-то левом говне как-то боком относящимся к пыхбб.Мне интересно про дыры в самом пыхбб.Третьем.Я его участь мониторю и пока что-то не углядел там каких-то крутых и злобных дыр.В самом пыхбб версии 3.<br><br>Кстати еще раз повторяюсь: любой достаточно фичастый язык программирования при тупняке програмеров - дыра!Единственный метод запретить идиотам палить себе в пятки - отобрать у них пистолет.Т https://www.opennet.ru/openforum/vsluhforumID3/48959.html#123 Wed, 18 Feb 2009 13:54:35 GMT &gt;Ну и защитничкам PHPBB, уязвимосетей там навалом, что во второй, что в <br>&gt;третей версии, <br><br>Пруфлинк для третьей версии не затруднит?На что-нибудь свежее и злое.А то сколько ни смотрю на phpbb3 - ну не вижу я чтоб именно сам этот bb ломали.Не вижу серьезных дыр.Где?Пруф будет?<br><br>&gt;проблема системная от убогости проектирования PHP <br><br>Да-да, все пи...сы, а вот анонимный трус наверное как всегда - Д`Артаньян.Старая песня.Боян!Кстати почему-то ломают все и на любых языках.<br><br>&gt;и патчами ее не закрыть, <br><br>Да, каждая швабра и быдлокодер метят в архитекты.Проблема только в том что такие как вы ничего лучше наархитектить не способны.И более того - неужто так трудно понять что идиотов НИКАКОЙ язык программирования не спасет?На выбор: или тупо ничего нельзя (как в JavaScript например) или идиоты стреляют себе в пятки потому что это - можно.<br><br>&gt;если кажый разработчик остается один на один с SQL-injection, <br><br>Вопрос: как это относится к PHP?Или на других языках SQL-injection запрещен законодательно?<br><br>&gt;XSS и т.п. <br><br>А https://www.opennet.ru/openforum/vsluhforumID3/48959.html#122 Wed, 11 Feb 2009 08:43:15 GMT Не надо рассчитывать на то, что код не достанут :)<br><br>Просто комбинировать широкодоступные средства, например:<br>update users<br>set password=sha1(md5('password'))<br>where id=12345<br><br>Комбинации и длинна цепочки sha1-md5 любая, если кто-то рассчитывается, что до кода не доберутся, то это будет доп. уровень защиты.<br> https://www.opennet.ru/openforum/vsluhforumID3/48959.html#121 Mon, 09 Feb 2009 21:04:01 GMT &gt;да? неужели?<br><br>а symfony к примеру ни осилил?<br>php виновно?<br><br>Симфония вещь она хорошая конечно, но уж больно тормозная, по сравнению с Django, ребята из Яндекса говорят что мерили и тестили получили соотношение по скорости в 30 раз. <br> https://www.opennet.ru/openforum/vsluhforumID3/48959.html#120 Mon, 09 Feb 2009 19:47:52 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого <br>&gt;был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже <br>&gt;включена в фреймворк, ну чего вам еще надо набрали модель баз <br>&gt;данных за 5-10 минут, создали шаблоны с дизайном (без всякого включенного <br>&gt;кода), подключили нужные модули, которые уже из коробки (RSS,Atom,Comment,OpenID, и т.п.), <br>&gt;подключили через fastcgi к веб-серверу --- все проект готов --- быстро, <br>&gt;и гарантировано без уязвимостей и если с дизайном веб-старниц не заморачиваться <br>&gt;(или их делает дизайнер (включенного кода в html там нет)) за <br>&gt;пол-часа максимум. <br><br>да? неужели? <br>а symfony к примеру ни осилил? <br>php виновно?<br> https://www.opennet.ru/openforum/vsluhforumID3/48959.html#115 Mon, 09 Feb 2009 19:17:54 GMT &gt;А почему не говорят? <br><br>Ну не cgi же вы использовали, а фреймворки уж больно разные, чтобы выделять язык поэтому и не говорят.<br><br>&gt;Тем более, что не вебом единым.<br><br>Ну мы за веб говорим какбэ.<br> https://www.opennet.ru/openforum/vsluhforumID3/48959.html#114 Mon, 09 Feb 2009 11:02:07 GMT &gt;Ну, это скорее всего просто словарная атака, помогает только против простых паролей <br>&gt;а вот пароли типа Dv3Nc:\&5tG7cJ таким манером не восстановишь (нет такого <br>&gt;слова).А база на 2^128 значений (все возможные md5) будет весить мягко <br>&gt;говоря невъ...нно и ни на какой жесткий диск не уместится. <br><br>Поэтому нормальные люди делают перед md5 примерно такое:<br>$pass = 'фыва' . $pass; // (а лучше чуточку посложнее выбрать фразу)<br><br>Тогда если даже базу с хэщами достанут, а код - нет, по словарю врят ли подберут хоть один пароль, а длинна каждого будет на несколько символов больше, так что перебором не покатит.<br>