Mýty o bezpečnosti phpBB

Přes včerejší odkaz na Intervalu s názvem WordPress bezpečnější než phpBB, Joomla a Drupal jsem se dostal k Separatistovi a jeho článku, kde odkazuje na studii od společnosti Qualys. Jejich přispěvatel totiž publikoval kratší studii o bezpečnosti aplikací, kde pomocí nástroje BlindElephant zjištoval procenta využívaných verzí aplikací a následně z nich vyvodil celkový podíl napadnutelných aplikací oproti všem nainstalovaným. U phpBB (a nejen u něj, Drupal nebo phpMyAdmin byly také neprávem označené jako nebezpečné) bohužel nedotáhl svoji rešerši příliš daleko a udělal několik klíčových chyb:

• V phpBB 3.0.7 se objevila středně závažná chyba, která mohla přes RSS odkrýt obsah některých jinak nepřístupných příspěvků. Do dvou týdnů byla publikovaná oprava a podíl webů využívajících tuto verzi je reálně v řádu promilí. Opravnou verzi 3.0.7-PL1 do přehledu nezahrnul i přes to, že už byla dlouhou dobu před publikováním studie vydaná.
• Navíc poměrně neštastně označil všechny předcházející verze také jako nebezpečné, přestože u nich chyba vůbec neexistovala.
• A na závěr míchá dohromady phpBB2 a phpBB3, které nemají společný jediný řádek kódu.

phpBB má naopak velmi příznivý záznam o bezpečnostních chybách, Secunia za celou dobu existence phpBB3 zjistila 4 (čtyři!) chyby, z toho 3 málo závažné. Žádní z nich neměla za následek kompromitaci údajů nebo nabourání se do kteréhokoliv fóra. Přestože Qualys nakonec publikovala opravnou zprávu, souhrny z první již bohužel putují po internetu bez kontroly. Kontrolovat bezpečnosti webových aplikací a upozornit je na jejich chyby je určitě přínosné. Motat dohromady nesouvisející fakta, neověřit si své informace a publikovat je takto oficiálně už bohužel není. Nakonec srovnání výsledků před opravou a po opravě: A přeci jenom ani po opravě se nedokázal vyhnout chybám. Předpokládá, že verze phpBB 2.0.x jsou zasaženou stejnou chybou, přitom mají úplně jiný kód.