Форум PHP

Посоветуйте, какой форум лучше выбрать для сайта: аналог этого, invision, phpbb?

phpbb. самый популярный, поддержка, туча плагинов и модов

и эксплоитов :)))

подписаться на рассылку и следить за форумом :)))
а насчет дыр. а где их щас нет? (это если брать форумы с богатыми возможностями :) )

В общем да, но к этому форуму очень уж внимание приковано и информации по взлому публикуется очень много, поэтому даже не способные к программированию злоумышленики получают возможность вмешаться в мирную деятельность сайта... т.е. аудитория людей способных взломать форум резко выростает.

А какие дыры? Например.

Лучше IPB... даже на халяву найти можно, если надо то стучи в асю 168241

Чем лучше? И разве phpbb не бесплатный?

Не хочется попусту флеймить, но все жу выскажу свое мнение:
открытый код имеет довольно большой недостаток: любой кто обладает достаточными знаниями и желанием может вас взломать, так как структура вашего форума для него заранее известна (то есть самая трудоемкая работа за него уже сделана).
Так что если вы напишете форум самомтоятельно, или доработаете что-то чужое (при условии что будут прикрыты самые очевидные дырки), то злоумышленнику будет во много раз труднее найти какие-либо дыры. Думаю, в 99% случаев уникальность кода будет достаточной защитой.

Не знаю каким образом взламывают форумы, но можно раздел админа не размещать вообще. И потом, чем грозит взлом? Тем, что однажды я зайду и увижу, что админ не я или админ не только я?) Или тем, что кто-то целеноправленно будет мешать работе форума?

Критика понятна, но где выход. Какой форум лучше всего ставить? И где взять форум с "закрытым" кодом?

Чем грозит взлом? все что придет в голову. удаление бд например. Можно ставить форум из движков для сайтов (но и тогда надо ставить еще и двиг для сайта). например LDU. там неплохой форум. и дыр вроде мало находят. а ипб имхо там более половины ненужного, во вторых нет поддержки, т.к. форум платный

Я так понимаю, его надо править. Есть ли что-нибудь менее трудоемкое?

Попробуйте minibb - отличный форум среднего класса с классическим списком категорий. На сайте разработчиков есть русский интерфейс.
http://www.minibb.net/
PS Я хотел переводить французские форумы и пользоваться ими до написания своих, но посмотрев два неплохих по функциональности экземпляра я убедился, что там не производится даже элементарная проверка переменных, передаваемых $_GET или $_POST. Наверное, у них меньше проблем со взломщиками...

ДА. красивый и быстрый форум
если это он http://www.minibb.net/forums/7_0.html
то очень даже ничего, но его, как я понимаю, предется переводить?

Нет поищите руссификатор, в разделе downloads разработчика.
Прямая ссылка http://www.minibb.net/download.php?file=langrus

>Чем грозит взлом? все что придет в голову. удаление бд
>например.
Плюс кража e-mail и паролей пользователей форума.

Нет, а если папку админа вообще убрать, хакнуть ведь намного сложнее или нет?

Это зависит от того как взломают - у злоумышленников под рукой обычно свой админ, который состоит из одного большого файла и обеспечивает навигацию по сайту и выполнения всех операций - если он сможет его загрузить на ваш сайт - ему уже никакие панели будут не нужны.

а есть ли какие-нибудь некоммерческие или коммерческие скрипты обеспечивающие безопасность информации сайта?

Обычно защиту страются проводить на уровне Web-сервера - имеется несколько модулей, но они не входят в страндартную поставку и ставятся хостером при его желании, которое возникает редко (чем больше модулей, тем больше проблем).

Об этом надо узнавать у хостера? И чем плоха их установка?

Тем, что их нужно установить и настроить, а этим должен кто-то заниматься, а этому кому-то надо платить деньги. Короче, по той же причине, по которой ВАЗ не делает машины аналогичные Мерседесу.

Я с такими модулями раньше не встречался, но вот инетересно есть ли скрипты, целеноправленно обеспечивающие защиту сайта, просто форума?

Обычно сам код форума обеспечивает защиту - использование дополнительных скриптов только снижает надёжность и затрудняет модификацию кода.

Код популярного форума, как правило, всем известен, а код сторонних программ нет.

О, как раз хотел подобную тему начать.

Скажите, пожалуйста, как вообще (в теории) можно взломать форум? Ну, послать "хитрые" данные через GET или POST, подделать как-нибудь cookie... А что еще? От чего еще защищаться?

Да собственно от всех данных получаемых скриптом извне.

Если скрипт принимает от посетителя файлы (фотографии или просто файлы, как у нас на форуме), можно попытаться загрузить на сервер вместо такого файла php или perl-скрипт со всеми вытекающими.

Не могу понять, как в мини бб поменять ключевые слова... замучался искать...

Если Вы имеет в виду ключевые слова в теге META, их можно найти в файле

templates/main_header.html

Спасибо)

Спасибо)

Подскажите еще, как удалять сообщения? Захожу как админ.. а дальше?

Похоже, что никак. Можно удалять только темы. Это делается не в админе, а прямо на форуме, при просмотре.

Подводный камень форума.

Заходите как админ - и удалять сообщения можно нажав на ссылку "Удалить" рядом с сообщением.

Когда я только начал пользоваться miniBB, было очень непривычно... потому что форум СОВЕРШЕННО не такой, как остальные. Но в этом его ОГРОМНОЕ преимущество, как выяснилось потом! С громоздилами phpbb или invision даже не сравнить... когда разбираешься, что да как - экономишь кучу времени. Не только сам форум работает быстро, но и админ :)

На нескольких своих сайтах я использовал разные форумы, но остановился на phpBB.
Да, открытый код более уязвим - но минимальные доработки и подписка на новости с обновлением резко снижают риск взлома.
Из таких доработок выделю следующие:

- смена id админа - большинство скриптов для кидисов расчитаны на то, что id админа=2

- мониторинг файлов на диске - когда я проигнорировл очередные обновления (три версии), через несколько месяцев система мониторинга сообщила о новом закачанном файле - это была попытка взлома через закачку php-шелла. Прав на полноценную работу закачанного скрипта не хватало, к тому же злоумышленники обычно не торопятся - я поставил ловушку, отследил адрес и связался с админом той сети - при необходимости была реальная возможность привлечь по статье.Это, кстати, доказыват, что 99% взломщиков - кидисы

- несложно добавить в скрипты форума: отсылку сообщения при попытке входа админом и контроль количества админов, вход админом только сопределенных адресов, переименование папки админа

Такой функционльности, как в phpBB, сложно найти (правда, не всем она нужна). IPB - менее функционален (под него на порядок меньше модов), взломам подвержен в такой же степени. V bulleeten - очень сложен в настройке.

Я разобрался. Спасибо)...