.
korizon.deognompfine 54.80.10.56 21.10.2017 - 3:25:46
Domaingo

Form

PHPKit CCP Sicherheit

 - 08.08.2007 - 00:38
In diesem Artikel möchte ich mich ein bischen mit dem Thema Sicherheit im PHPKit bzw. im CCP beschäftigen.

Wenn mich noch vor einem viertel Jahr jemand gefragt hätte welche Homepgaesoftware er einsetzten soll hätte ich ihm ohne zu zögern PHPKit mit C.C.P. empfohlen.

Nun ein paar Monate später bin ich um einiges schlauer und versuche auch auch diejenigen wieder vom Kit abzubringen. Warum der Sinnewandel?

Im Februar '06 wollte ich mehr aus meiner Homepage machen und hab durch meinen damaligen Clan schon ein bischen Erfahrung mit dem Kit und PHP gemacht.
Also neuen Webspace mit PHP, mysql und dem ganzen Schotter gemietet und fröhlich das PHP Kit installiert.
Immernoch hellauf begeistert, weils so einfach war, meine Inhalte, Downloads und das Forum eingerichtet.

Dann hab ich angefangen an ein paar Erwiterungen zu basteln. Daraus entstand dann das durchaus beliebte Lottosystem.

Mit steigender Bekanntheit kam dann jedoch auch das Gesindel in Form von Spambots und eMail Harvestern etc.
Am Anfang hab ich die Einträge in der Shoutbox einfach noch gelöscht.
Es wurde jedoch immer mehr und immer öfter gepostet. Auch das Gästebuch und das Kontaktformular vielen den Spammern zum Opfer.

Nach einigem Suchen bin ich dann bei musel-online.de gelandet.
Dort erstmal ein bischen die Downloads durchforstet und ein großes Sicherheitsupdate runtergeladen und installiert.
Auch eine Captchasicherung für sämtliche Kit Formulare wurde angeboten.

Somit war das schonmal angehakt. Um jetz auch noch die Laberecke zu sichern (hatte es vorher schon mit dieversen Checkboxen und Javascript versucht, ohne Erfolg) hab ich mir einfch den Captcha Code aus dem Gästebuch geschnappt und diesen auch in der Laberbox integriert.
Das hielt nun auch die letzten maschinellen Spammer ab.

Somit glaubte ich mein Kit vorerst optimal geschützt zu haben.
Im Forum bei Musel hab ich dann eine zeitlang die Sicherheitsmeldungen verfolgt und teilweis auch umgesetzt. Mit der Zeit wurd mir das aber zu umständlich da die meisten Fixes nur für das PHPkit ohne CCP waren bzw. sich mit dem durch das CCP aufgerissene Löcher keiner beschäftigte.
Selbst das Punktesystem, das bereits im CCP mit integriert ist, hatt grobe Fehler.
Ein bekantes Galleriescript das ich im Einsatz hatte bot so nette Einstiegsmöglichkeiten das ich eines Tages meinen Webspace leergefegt vorfand.

Der Gau kam dann Ende Februar als ein ziemlich unterbeschäftigtes Scriptkiddie über eine (wer hätt's gedacht) Lücke im Code vom Kit die Zugangsdaten ausspionierte und auf der Seite rumblödelte.
Das ging ein paar Tage so hin und her.
Im Hintergrund hatte ich schon vor Wochen angefangen meine eigenes CMS zu schreiben welches ich dann ein paar Tage früher als gewollt online bringen musste.

Nun bin ich weg vom PHPkit und ich muss sagen das es die richtige Entscheidung war. Ansich ist das Kit Spitze. Jedoch kann man jedes super System in die Tonne kicken wenn dahinter kein Entwickler steht der das Ganze stetig weiterentwickelt und auf dem neuesten Stand hält.
Das letzte "Update" ist vom 13.09.2004. Wenn die Herren von Gersöne und Schott GbR nicht nur die Lizenzgebühren lächelnd einschieben würden sondern nur die Bugfixes aus den Foren einarbeiteten wären die gröbsten Löcher schonmal gestopft und das Kit nicht offen wie ein Scheunentor.

So wie sich das aber aus seehr viele Posts im PHPKit eigenen Forum ergibt sieht es damit wohl schlecht aus und der User bleibt mit dem löchrigen System auf sich alleine gestellt.
Nicht ohne Grund verlassen selbst Admins und hohe Mods das Forum.

Um dem ganzen Text hier noch ein wenig Sinn zu geben, einige Tips für ein sicheres Kit:

• die gröbsten Lücken schließen durch das Update bei musel-online.
• Eingabeformulare sichern z.B. durch Captchas
• Nicht alle Addons installieren bzw. im Administrationsmenü aktivieren (keiner braucht jede Erweiterung)
• zusätzliche Mechanismen zur Sicherung einbauen z.B. den HackBlock (auch bei Musel)
• Auf dem Laufenden bleiben was Bugs angeht (der mir zum verhängniss wurde war nur knapp 2 Monate alt)

Noch ein Wort zum Schluß. Das PHPKit ist ein super System wenn es nicht so unischer wäre. Mein eigenes Content Management System ist gewiss nicht so umfangreich aber in den Sachen die ich brauchen genauso komfortabel um im Vergleich zum Kit um ein gutes stück sicherer.

Update: Inzwischen ist die phpkit Version 1.6.4 erschienen, ich empfehle allen die noch phpkit nutzen ein Update.

kostenloser Backlink Ranking-Hits
PHP powered SQL powered TXT powered
Impressum - Disclaimer - Datenschutzerklärung
Valid CSS & HTML
Seite generiert in 0.0556 sec. mit 23 querys und 56 Templates.
©2012 korizon-services.de