Sicherheitslöcher

Das phpBB ist nicht nur besonders beliebt, sondern konnte über die Jahre auch mit der einen oder anderen Sicherheitslücke aufwarten. Als 2005 das phpBB mal wieder in diesem Zusammenhang  von sich Reden machte und Weblogs und andere Medien darüber berichteten, habe ich mich gefragt, ob unsere Scripte möglicherweise ebenfalls mal auf einer Sicherheits-Mailing-Liste Erwähnung finden würden.

Ich kann nicht sagen, dass ich gewünscht hätte, es würde mal passieren. Schließlich würde jedermann sagen: Seht her, die Typen hier schreiben schlechten und gefährlichen Code - lasst bloß die Hände davon! Im schlimmsten Fall könnte es das Ende für eine Firma sein. Auf der anderen Seite würde es bedeuten, dass wir eine kritische Masse an Nutzern erreicht hätten und es sich lohnt, Exploits zu finden und auf einer Sicherheitsliste zu posten.

Im selben Jahr hatten wir das zweifelhafte Vergnügen, "endlich" auf Bugtraq erwähnt worden zu sein. Solange man allerdings nicht das phpBB oder ein anderer der "Big Players" ist, passiert herzlich wenig. Es strömen keine Hundertschaften von Bugtraq-Abonnenten auf die Website um zu pöbeln oder sich zu beschweren. Und unsere eigenen Nutzer lösten auch keine Welle an Support-Anfragen aus. Es blieb alles ruhig, so dass wir Ruhe den Bug zu beheben und ein Update herauszubringen konnten.

Vom technischen Standpunkt her war es ein eher kleineres Problem, das sich mit vier Zeilen Code lösen lies. Hat keinen halben Tag gedauert, bis wir die neuen Versionen für die drei Scripte draußen hatten. Hätte schlimmer kommen können.