Dziś została wydana poprawka do skryptu forów dyskusyjnych phpBB by Przemo.
Jak napisał Przemo:
Dzisiaj jeden użytkownik znalazł w kodzie stary i zapomniany mechanizm, który napisałem wiele lat temu na prośbę policji w związku z akcją wymierzoną przeciw jednemu forum pedofilskiemu opartemu na moim skrypcie.
Mechanizm ten miał umożliwiać zdalne zablokowanie forum dyskusyjnego z domeny przemo.org (tylko ja miałem możliwość zablokowania forum) w sytuacji krytycznej, lecz nigdy nie został użyty, nie było takiej potrzeby, nie było też sytuacji, że jakieś forum zablokowałem za usunięcie stopki a jak wiecie takie fora istnieją. Nie znajdziecie nigdzie w sieci informacji, że czyjeś forum zostało zablokowane.
Jednak w połączeniu z możliwością włamania na przemo.org istnieje ryzyko, że włamywacz mógłby zablokować jakieś forum. Dla ścisłości – nie ma możliwości włamania na Wasze fora, ale mógłby je zablokować, wówczas tylko ja mógłbym je odblokować i jeżeli tak się stanie proszę do mnie napisać.Ta poprawka ma na celu usunięcie z forum tego zapomnianego mechanizmu. Z ręką na sercu – zapomniałem o tym, to było wiele lat temu i gdybym sobie o tym przypomniał usunął bym go we wcześniejszych wersjach, gdyż stanowi w/w zagrożenie.
W załączniku załączam plik gg.php który należy rozpakować i nadpisać plik znajdujący się w katalogu głównym forum.
Niebawem pojawi się wersja 1.12.7, która oprócz kilku dodatkowych zabezpieczeń, kilku optymalizacji, SB ajax, będzie uwzględniała tą poprawkę, lecz koniecznie nadpiszcie ten plik już teraz.
Poprawka dostępna jest w temacie http://www.przemo.org/phpBB2/forum/viewtopic.php?p=530900#530900 i proszę pobierać ją wyłącznie z tego adresu.
Kilka słów mojego komentarza do sprawy.
Odbiła się ona dość szerokim echem. Wisi na wykopie, pisze o tym ittechblog.
Moim zdaniem nie jest to tak straszna rzecz aby pisać, że „przemo blokuje fora” i „penisować” w komentarzach na wykopie. Jak jestem i działam na forum przemo.org tak nie było przypadku aby komuś zablokowano forum. Ta funkcja nie była wykorzystywana. Przemo nikomu forów nie blokował i tego nie robi. Fakt nie udzielamy wsparcia technicznego dla właścicieli forów, którzy usunęli oryginalną stopkę skryptu, ale nikt im nie blokował forum z takiego powodu.
Tak to była zapomniana funkcja i niepotrzebnie siedziała w skrypcie. To pewnie jest błąd, ale został on szybko naprawiony. Nikt się nie wypiera, nikt nie kombinuje. Nie ma ludzi, których forum zostałoby zablokowane. Pisanie więc, że Przemo jest szantażystą i władza twórcy skryptu uderzyła mu do głowy (viveka @ wykop) jest tak głupie, że aż śmieszne.
WordPress oferuje automatyczne aktualizacje. Zarówno samego skryptu jak i zewnętrznych wtyczek. Czy twórcy skryptu mogą mi zablokować niniejszego bloga? Pewnie jest to wykonalne. Czy się obawiam – nie. Bo nikt nigdy nie słyszał aby twórcy WP zablokowali komuś bloga. Bo gdyby to zrobili, ot tak dla poczucia władzy, to natychmiast masa użytkowników by z niego zrezygnowała…
Macie konsolę XBox od Microsoftu? Dlaczego nie możecie się podłączyć do sieci XBox Live jak inne kraje? Przecież konsola oferuje taką możliwość, bez żadnych przeróbek mechanicznych. Bo MS wyłączył taką możliwość w Polsce? Modyfikując możliwość Waszej konsoli? Dopiero ostatnio zaczęto walczyć o wyraźne oznaczenia, na pudełkach, że produkt jest niekompletny. Bo walka o uruchomienie XBox Live w Polsce trwa już od dawna…
Albo administratorzy serwerów, na których trzymacie fora – przecież oni mają nieograniczony dostęp do plików i baz. Czy to oznacza, że wiedzeni manią wielkości siedzą nocami i przeglądają Wasze prywatne wiadomości?
Autorzy oprogramowania czy skryptów mogą wszystko. Bo są autorami. To Oni tworzą daną rzecz i zarządzają nią. Ale nie dajmy się zwariować. Nie każdy program jest wirusem i nie każdy skrypt służy do wykradania numerów kart kredytowych! Trzeba mieć minimum choć zaufania do innych osób tworzących. Można oczywiście postawić własny serwer i stworzyć własne skrypty.
Tylko to chyba nie o to chodzi w darmowym korzystaniu z owoców czyjejś pracy?
Ja uważam, że wiele komentarzy, które przeczytałem w związku z tą sprawą jest krzywdzących i zwyczajnie chamskich. Ale część z opinii była słuszna i rozsądna i niniejszym dziękuję ich autorom. Bo w zalewie mściwego jadu warto wyłowić i wziąć do serca słuszne uwagi nawet krytyczne.
Zastosujcie poprawkę i nie dajcie się nakręcić, że to skandal na miarę cygara Clintona. Myślę, że nie tylko my wyciągniemy z tej całej wrzawy wnioski. Tym bardziej, że wersja 1.12.7 cały czas jest przygotowywana. Kilka dni temu została na krótko włączyliśmy na przemo.org ajaxowego ShoutBoxa, który testowany był przed dołączeniem go do kolejnej wersji.
Niemniej już teraz zastosujcie proszę opisaną poprawkę.
Świątecznie pozdrawiam :)
Witaj ;)
Na IT Tech Blogu nie dodawałem własnego komentarza do sprawy, opisałem tylko fakty.
W dalszym ciągu zastanawia mnie fakt, że policja poprosiła Przema o zablokowanie forum opartego na jego skrypcie. Dziwi mnie to, i zastanawia czy taka prośba nie byłaby nadużyciem gdyby się zdarzyła.
Mimo iż wątpię w to, że funkcja pojawiła się tam na skutek prośby policji nie zarzucam niczego Przemowi. Sam kiedyś korzystałem z jego skryptu. Fakt jest faktem, ze funkcja takowa tam się znalazła. I nie jest ważne tutaj to, że nigdy z niej nie korzystano itp. Z niej mógł skorzystać każdy kto:
a) włamałby się na przemo.org
b) uzyskałby dostęp do strony
c) wykorzystałby jakiś błąd np po stronie hostingu
d) jest administratorem hostingu
więc powód do niepokoju jest, oczywiście tak jak mówisz – nie aż do takiego aby wyzywać go w komentarzach itd.
Tak jak wcześniej wspomniałem, stwierdzenie o prośbie ze strony policji wydaje mi się być nagięte, ale nie wątpię w to, że backdoor został napisany pod konkretne forum. Dlaczego? Bo z bramki GG mało które forum korzysta. Te o którym mówi Przemo widocznie korzystało i dlatego funkcja jest tu a nie gdzie indziej.
Oczywiście na spory plus zasługuje oficjalne tłumaczenie oraz szybka łatka (choć niewiem po jakim czasie od zgłoszenia, ja mail dostałem o 2 w nocy) – dlatego w odróżnieniu od wpisu na Wykopie umieściłem również oficjalne tłumaczenie, mail oraz link do załatanego pliku przez co mam nadzieję, że wpis bardziej obrazuje sytuację niż ten Wykopowy. Przesadziłem może z tytułem ale pisałem wpis na szybko ;)
Pozdrawiam
I dziękuję za normalne i ludzkie zwrócenie uwagi na problem. Bo to jest problem mogący, tak jak piszesz, spowodować poważne konsekwencje.
Naprawdę warto opisywać i ujawniać takie błędy w skryptach. I nie mam pretensji, ani nic nie zarzucam – przeciwnie naprawdę to doceniam i dziękuję.
Pisałem o tych jadowitych komentarzach na wykopie. Bo naprawdę staramy się utrzymywać skrypt w rozwoju, zapewniamy pomoc techniczną i mnie osobiście czasem szlag ognisty trafia jak czytam jaki to Przemo jet chuj, skrypt dziurawy, a pomoc techniczna do bani.
Tak popełniamy błędy i fajnie, że ktoś je znajduje – bo to przecież także jest rozwój skryptu :)
Dzięki raz jeszcze i pozdrawiam :)
Trochę nieprawdopodobna wydaje się sprawa z policją. Sam się zdziwiłem, kiedy do mnie napisali (a pisali dwa razy). Poprosili o adresy IP z jakich się rejestrował tamtejszy admin u mnie na forum oraz poprosili o blokadę tego forum. A, że nie było takiej funkcjonalności więc ją dorobiłem na przyszłość w razie czego, wtedy nie było włamań na przemo.org więc nie brałem tego pod uwagę. A później gdy były włamania zapomniałem o tym, gdybym sobie przypomniał usunął bym ten mechanizm aby nie stwarzał zagrożenia. Na szczęście nikt z niego nie skorzystał oraz nikt nigdy i nigdzie nie pisał, że miał zablokowane forum.