Autor Wątek: Aktualizacja skryptu forum.  (Przeczytany 12724 razy)

0 użytkowników i 1 Gość przegląda ten wątek.

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Aktualizacja skryptu forum.
« dnia: 15 Sie 2015, 00:02:00 »
Lata mijają a forum dalej kuleje na wersji SMF 2.0.4. Kiedy zostanie zaktualizowane do najnowszej wersji? Ma ona numerek 2.0.10.

Dla admina informacyjnie co zmieniło się od tego czasu:


2.0.5
Wersja ta nie przynosi wiele poprawek, ale zaleca się zainstalowanie aktualizacji jak najszybciej. W wersji SMF 2.0.5 usunięto luki pozwalające na atak XSS - na stronie prywatnych wiadomości, aktualności oraz w polu email. Poprawiono także błąd w pliku upgrade.php, ktory nie pozwalał kontynuować aktualizacji po wystąpieniu błędu bazy danych. Zaktualizowano także adres odnośnika do sprawdzania adresu IP w bazie danych RIPE.

2.0.6
Tym razem poprawiono błędy związane z aktywacją użytkowników, gdzie czasem zdarzenia aktywacji nie były zapisywane w logach, dodano zabezpieczenia przed atakami typu clickjacking, usunięto możliwość podszywania się pod innych użytkowników forum z wykorzystaniem znaków Unicode.

2.0.7
Jest to dość nietypowa łatka. Nie jest to aktualizacja zabezpieczeń tylko poprawki dotyczące wykrytych w skrypcie błędów. Niektórzy już zdążyli się przyzwyczaić, że aktualizacje są wydawane tylko w przypadku odkrycia i naprawienia poważnych luk zagrażających bezpieczeństwu skryptu, ale tym razem tak nie jest - wersja 2.0.7 przynosi poprawki wykrytych błędów, ale nie tylko.

W wersji 2.0.7 dodano pełną kompatybilność dla PHP 5.5 które jest dostępne na coraz większej ilosci serwerów, poprawiono zarządzanie raportami w centrum moderacji. Wbudowany system cache dostał także poprawki, które powinny uczynić go bardziej stabilnym.

2.0.8
Aktualizacja skupia się głównie na problemach z pamięcią, które powstały po wydaniu wersji 2.0.7 oraz poprawia błąd powodujący losowe wyświetlanie się działów na MySQL w wersji 5.6 i wyższych. Naprawiony został również bardzo rzadko występujący błąd bazy danych przy wyszukiwaniu użytkowników. Użytkownicy mający problem "białego ekranu" oraz innych podobnych problemów powinni zauważyć znaczną poprawę.
Podobnie jak to było z łatką 2.0.7 - nowa wersja nie jest aktualizacją bezpieczeństwa, jednak zalecane jest zaktualizowanie forum do najnowszej wersji najszybciej jak to jest możliwe.

2.0.9
Aktualizacja poprawia wykryte w poprzednich wersjach błędy dlatego zalecane jest jak najszybsze zainstalowanie jej na swoim forum.
Poniżej znajduje się lista niektórych poprawionych błędów:
 - poprawiono działanie instalatora pakietów (usunięto podatność na ataki XSS),
 - poprawiono wyświetlanie przycisków pod ankietami (zawsze był widoczny przycisk "Pokaż wyniki"),
 - poprawiono działanie list wielokrotnego wyboru (działały one błędnie, gdy nie wybrano żadnej opcji),
 - poprawiono link aktywacyjny konta wysyłany w wiadomości email (niektóre serwisy email wyświetlały go niepoprawnie),
 - poprawki dla PHP 5.4.

2.0.10
W tej wersji poprawiono zgłoszone przez użytkowników błędy, najważniejsze poprawki:
poprawiono błąd powodujący brak animacji paska aktualności
poprawiono podgląd wiadomości w formacie XML
poprawiono tag HTML
poprawiono obsługę znaków UTF8mb4
poprawiono działanie edytora WYSIWYG w przeglądarce Pale Moon
poprawiono działanie funkcji wyświetlania wyników ankiet przez SSI
poprawki  dla baz PostgreSQL (dotyczy emotikon oraz zarządzania aktualnościami)


Jak widać na przestrzeni kilku wersji poprawek było sporo a administracja forum sobie śpi. :-)

Offline Gregorius

  • Zabezpieczenie
  • ******
  • Wiadomości: 220
  • Płeć: Mężczyzna
  • dawniej GFM
Odp: Aktualizacja skryptu forum.
« Odpowiedź #1 dnia: 15 Sie 2015, 08:30:39 »
Normalnie aż dziwne, że to w ogóle chce działać :o
Ale niektórzy (ja też) stosują zasadę: Działa - nie psuć! 8)
Na imię mam Grzegorz.

Offline remitent

  • Uzależniony od forum ;-)
  • ****
  • Wiadomości: 530
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #2 dnia: 15 Sie 2015, 09:07:09 »
@Gregorius - rozumiem, że takie błahostki jak posiadanie aktualnego systemu Windows (z łatami na różne krytyczne błędy) nie zaprzątają Twojej głowy ;)
Nocna Masa Krytyczna - 2. sobota miesiąca - godz. 24:00 - nocnamasa.pl

Offline Gregorius

  • Zabezpieczenie
  • ******
  • Wiadomości: 220
  • Płeć: Mężczyzna
  • dawniej GFM
Odp: Aktualizacja skryptu forum.
« Odpowiedź #3 dnia: 16 Sie 2015, 10:28:17 »
@Gregorius - rozumiem, że takie błahostki jak posiadanie aktualnego systemu Windows (z łatami na różne krytyczne błędy) nie zaprzątają Twojej głowy ;)

Bardzo dobrze rozumiesz.
Z mojego doświadczenia informatycznego wynika tylko jedno:
każda zmiana na nowsze (podobno miało być lepsze) skutkuje
krótszym lub dłuższym paraliżem systemu.
A pracować trzeba.
Im bardziej skomplikowany system, tym więcej parametrów
do ogarnięcia i coraz łatwiej o czymś zapomnieć.
W miejsce "starych", opanowanych już błędów pojawiają się 
nowe. W końcu cały system pisze się od nowa.

A tak całkiem na poważnie: to czy jest jeszcze ktoś, kto by
się tym zajmował?
Forum masy to nie firma handlowa z prężnym zespołem
dobrze zarabiających informatyków gotowych do działań 24h.
Jeżeli odstrzeliwuje się kogoś, kto trzyma to wszystko
w garści tylko dla tego, że jest "zbyt pyskaty" to trzeba się
liczyć ze skutkami ubocznymi. A te ostatnie dopiero zaczną
się pojawiać. Życzmy sobie dużo szczęścia - będzie bardzo
potrzebne.
Na imię mam Grzegorz.

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #4 dnia: 17 Sie 2015, 00:44:30 »
Z mojego doświadczenia informatycznego wynika tylko jedno:
każda zmiana na nowsze (podobno miało być lepsze) skutkuje
krótszym lub dłuższym paraliżem systemu.
Krótko mówiąc- masz bardzo małe doświadczenie informatyczne. :P
Jeżeli odstrzeliwuje się kogoś, kto trzyma to wszystko
w garści tylko dla tego, że jest "zbyt pyskaty" to trzeba się
liczyć ze skutkami ubocznymi. A te ostatnie dopiero zaczną
się pojawiać. Życzmy sobie dużo szczęścia - będzie bardzo
potrzebne.
Nie wiem kogo oni tu jeszcze odstrzeliwali, ale ostatnia aktualizacja to chyba była wtedy jak ja się tym zajmowałem. Potem zapanowało "niedasię" tak chętnie używane przez władców Masy. ;-) Tłumacząc na nasze "nie umiemy" ;-)

Offline łowca

  • Uczestnik
  • **
  • Wiadomości: 152
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #5 dnia: 31 Sie 2015, 09:02:37 »
Z mojego doświadczenia informatycznego wynika tylko jedno:
każda zmiana na nowsze (podobno miało być lepsze) skutkuje
krótszym lub dłuższym paraliżem systemu.
Krótko mówiąc- masz bardzo małe doświadczenie informatyczne. :P

Uwierz mi - ja przez -naście lat w branży widziałem już trochę spektakularnych i widowiskowych 'małych aktualizacji'. Podobno niedawny 'atak hakerski' na Okęciu to tez była 'mała aktualizacja, właściwie jeden komponent o pół wersji w górę' - uziemiła ta 'mała aktualizacja' kilkanaście samolotów.

Zasada 'jak coś działa dobrze, to się tego nie rusza' jest powszechnie stosowana. I w małych firmach, i w dużych korporacjach.

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #6 dnia: 02 Wrz 2015, 21:42:28 »
Zasada 'jak coś działa dobrze, to się tego nie rusza' jest powszechnie stosowana. I w małych firmach, i w dużych korporacjach.
Czekaj... W SONY też ją stosowali, nie? I w Ashley Madison też, prawda? :D


Brednie. I niedouczeni informatycy.

Offline łowca

  • Uczestnik
  • **
  • Wiadomości: 152
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #7 dnia: 03 Wrz 2015, 08:33:06 »
Zasada 'jak coś działa dobrze, to się tego nie rusza' jest powszechnie stosowana. I w małych firmach, i w dużych korporacjach.
Czekaj... W SONY też ją stosowali, nie? I w Ashley Madison też, prawda? :D


Brednie. I niedouczeni informatycy.

Takie przysłowie jak
Cytuj
Lepsze jest wrogiem dobrego
znasz?
Ja nie wiem, czy w SONY wszystko działało dobrze. Ale skoro Ty wiesz, że nie działało, i w dodatku jesteś tego tak bardzo pewien, że możesz obrażać swoich dyskutantów, to z chęcią poznam Twe głębokie kompetencje.

Offline biały

  • Uzależniony od forum ;-)
  • ****
  • Wiadomości: 598
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #8 dnia: 03 Wrz 2015, 15:07:43 »
Dyskusja nad "jeśli coś działa dobrze, to nie ruszać" jest jałowa, bo forum nie działa dobrze:
  • Oprogramowanie nie było aktualizowane od 4 lat, co dyskwalifikuje je pod względem bezpieczeństwa.
  • Forum staje się niekompatybilne z obecnie stosowanymi technologiami i w którymś momencie po aktualizacji softu lub konfiguracji na serwerze po prostu nie wstanie. Albo po aktualizacji przeglądarki u użytkownika zacznie dziwnie wyglądać.
  • Sam już zgłaszałem problemy: np. to, że z jakiegoś powodu zamienia niektóre znaki na pytajniki i to bez ostrzeżenia!
Kłopot z forum jest taki, że zapewne po prostu nie ma komu tego zrobić.

Ja nie wiem, czy w SONY wszystko działało dobrze. Ale skoro Ty wiesz, że nie działało, i w dodatku jesteś tego tak bardzo pewien, że możesz obrażać swoich dyskutantów, to z chęcią poznam Twe głębokie kompetencje.
Nie wiem, jakie kompetencje ma Drex, ale przynajmniej czyta odpowiednie źródła informacji, skoro wie o obydwu atakach. Proponuję zapoznać się z obydwoma przypadkami (plus ataki na użytkowników TP-Linków, D-Linków i kilku innych marek modemów) zanim zaczniesz jego pytać o kompetencje. Dorzuć do tego PlusBank, MtGox i Metro Warszawskie - to ostatnie to akurat nie przez stary soft, ale również przez nieprzestrzeganie najbardziej podstawowych reguł bezpieczeństwa i archaiczne myślenie.
« Ostatnia zmiana: 03 Wrz 2015, 15:13:22 wysłana przez biały »

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #9 dnia: 03 Wrz 2015, 21:27:29 »
Ale skoro Ty wiesz, że nie działało, i w dodatku jesteś tego tak bardzo pewien, że możesz obrażać swoich dyskutantów, to z chęcią poznam Twe głębokie kompetencje.
Może wystarczy ci ta informacja, że ja założyłem to forum? :D

Nie wiem, jakie kompetencje ma Drex, ale przynajmniej czyta odpowiednie źródła informacji, skoro wie o obydwu atakach.
Dziękuję, staram się być w miarę na bieżąco. :-) Nawet jeśli już nie praktycznie to teoretycznie i informacje na temat bezpieczeństwa śledzę dość regularnie.
« Ostatnia zmiana: 03 Wrz 2015, 21:31:23 wysłana przez Wujek_Drex »

Offline mateyko

  • Zabezpieczenie
  • ******
  • Wiadomości: 449
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #10 dnia: 13 Wrz 2015, 01:53:25 »
Myślę że problem nie polega na tym że komuś się nie chce / nie umie bo to rzecz prosta ale tylko pod warunkiem że wszystko pójdzie dobrze.

Osobiście rozumiem czemu nikt nie chce wziąć odpowiedzialności za to jak wszytko po prostu padnie.

Myślę że najrozsądniej zrobić solidny backup i w razie problemów po prostu z niego wszystko przywrócić. Wybrać jeden tydzień na prace (na zapas) i tyle. Nikt za darmo przecież nie będzie tego robił z takim priorytetem jak praca czy inne obowiązki.

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #11 dnia: 20 Wrz 2015, 13:07:09 »
Osobiście rozumiem czemu nikt nie chce wziąć odpowiedzialności za to jak wszytko po prostu padnie.
Tak, bo nikomu się nie chce.
Myślę że najrozsądniej zrobić solidny backup i w razie problemów po prostu z niego wszystko przywrócić. Wybrać jeden tydzień na prace (na zapas) i tyle. Nikt za darmo przecież nie będzie tego robił z takim priorytetem jak praca czy inne obowiązki.
I tak to robiłem dokąd ja zajmowałem się forum. Jednak "następcy" moi leją na to, czy dane użytkowników i ich posty są bezpieczne. I nie trzeba do tego tygodnia a na przykład dwóch czy trzech godzin. A jeśli się coś spieprzy, to z przywróceniem wszystkiego z kopii może czterech.

Problem w tym, że klasycznie stosuje się tu metody PSLu- nie ważne czy ma kompetencje tylko czy jest znajomym z odpowiednimi poglądami.

Offline Jojek

  • Zabezpieczenie
  • ******
  • Wiadomości: 86
  • Płeć: Mężczyzna
  • Zamień trolowanie na rowerowanie.
Odp: Aktualizacja skryptu forum.
« Odpowiedź #12 dnia: 22 Wrz 2015, 21:07:43 »
silniki uaktualnione
Podziękowania dla Drexa za wytknięcie błędów i dla Joli za podesłanie na priv bo na forum dawno nie zaglądałem.
bawcie się dobrze

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #13 dnia: 28 Wrz 2015, 07:01:44 »
No! :-) O to chodziło.

Ale czy naprawdę trzeba aż przypominać? :D

Offline Wujek_Drex

  • Nowicjusz
  • *
  • Wiadomości: 42
  • Płeć: Mężczyzna
Odp: Aktualizacja skryptu forum.
« Odpowiedź #14 dnia: 19 Cze 2017, 19:03:07 »