SMF vs. phpBB

[Owdy]

Jos se phpBB tuntuu paremmalta, käytä ihmeessä sitä.

Voipas, sillä myös tietokone on on/off-systeemi. Tietokone osaa vain kaksi lukua: nollan (off) ja ykkösen (on).

Heh, okei, no niin voi. Mutta silloin oikeuksien muokkaus on hyvin rajattua. Toki hommasta voi tehdä yksinkertaisen on/off syteemin, muta sitten valitetaan että niiden säätäminen on rajattua tjsp. Mutta kuten sanottua, 1.1 versiossa se on lähes sellainen. Sitä saa sitten laajennettua halutessaan monimutkaisemmaksi.

Mozilla.fi:n keskustelualueen alareunan tekstin mukaan siellä on käytössä versio 1.0.5.

Toivottavasti kaverit ei joudu hakkeroitaviksi...

[Tapsa]

Moi!

Pystyykö phpBB-bordissa asettamaan estot niin, että ulkopuoliset eivät pysty tutkimaan rekisteröityneiden 'profiilitietoja'?

Mielestäni tuota kuvaamaani estoa ei pysty phpBB-boardissa asettamaan? Saatan olla kyllä väärässäkin?

Kuitenkin, kun olen selaillut noita phpBB-boardeja, niin jokaisessa olen pystynyt tutkimaan ihmisten profiilitietoja? Yhdessäkään vastaantulleessa phpBB-boardissa ei tuota tutkimista ole estetty?

Käsittämätöntä leväperäisyyttä ylläpidolta, jos tuon sallivat.
Rekisteröitymättomillä henkilöillä ei missään tilanteessa voi olla oikeutta tutkia 'profiilia'.

[Teme]

Tuosta 1.0.5:n käytöstä! Onneksi heillä ei ole phpBB:tä! Sen aukoista liikkuu niin monta matoa villinä, että päivittämättömät joutuvat aivan liian suurella todennököisyydellä johonkin muuhun käyttöön kuin oman foorumin käyttöön. 2.0.18:siakin on hax0r0itu jo ja käännetty viemään kävijät aseellisten muslimi-ryhmien sivuille.

Teme

[mrl586]

Pystyykö phpBB-bordissa asettamaan estot niin, että ulkopuoliset eivät pysty tutkimaan rekisteröityneiden 'profiilitietoja'?

Mielestäni tuota kuvaamaani estoa ei pysty phpBB-boardissa asettamaan? Saatan olla kyllä väärässäkin?

PhpBB 2.0.19 ei oletusasennuksena tue tätä toimintoa. Profiilin saa piiloon esimerkiksi tämän MOD:n avulla. Mahdollisesti profiilin voi saada piiloon myös jonkin muun MOD:n avulla. PhpBB MOD Database

Kuitenkin, kun olen selaillut noita phpBB-boardeja, niin jokaisessa olen pystynyt tutkimaan ihmisten profiilitietoja? Yhdessäkään vastaantulleessa phpBB-boardissa ei tuota tutkimista ole estetty?

Esimerkiksi tämän forumin profiileja ei pysty lukemaan vieraana.

[mrl586]

Tuosta 1.0.5:n käytöstä! Onneksi heillä ei ole phpBB:tä! Sen aukoista liikkuu niin monta matoa villinä, että päivittämättömät joutuvat aivan liian suurella todennököisyydellä johonkin muuhun käyttöön kuin oman foorumin käyttöön.

Lainauksen teksti on puolueellinen näkemys.

PhpBB on huomattavasti suositumpi forumiohjelmisto kuin SMF. Tästä syystä johtuen phpBB kiinnostaa hakkereita enemmän kuin SMF.

[M@D-M@X]

Mitä itse olen noiden foorumsoftien kanssa touhunnut muutamia vuosia niin kyllä smf on huomattavasti parempi ja monipuolisempi ja ennen kaikkea turvallisempi kuin phpBB. Vieläkö muistatte reilu vuoden takaisen phpbb tukifoorumin hakkeroinnin jonka yhteydessä katosi myös paljon asiaa ja tietoa phpbb modeista yms..ja jo pelkkä silmäys foorumin versionumeroihin osoittaa juuri sitä että se on erittäin suosittu ja hakkerointu softa. Se miksi phpbb foorumi on noin suosittu johtuu siitä että alkuaikoinaan se edusti erilaista ja toimivaa ilmaisoftaa jolla ei ollut yhtään varteenotettavaa kilpailijaa, nyt niitä on kuten esim smf.

[Teme]

Riippumatta siitä, onko jokin suosittu, phpBB on toistuvasti näkyvissä tietoturvalistoilla. SMF taas näkyy hyvin harvoin niilla. Antaakohan tuo todellisen kuvan tilanteesta? En tiedä. Se tarkoittaa joko sitä, että SMF on tietoturvan osalta parempi tai että SMF:ää ei kukaan ole vaivautunut tarkistamaan millään tavalla. Tämän keskustelun pohjalta taidan kyllä harkita Spicen kaivamista pöytälaatikosta ja aloittaa penkomaan sen pohjalta lähinnä validointiin ja verifiointiin liittyvien käytäntöjen tenttaamista niin SMF:n kuin phpBB:n kehitystiimiltä. Se vaatisi kyllä aikaa.

Noiden modejen käyttämisen osalta niin phpBB:ssä kuin SMF:ssä on ongelma. Päivitysten yhteydessä usein katoaa modi, joka pitää sitten asentaa uusiksi. Huonolla tuurilla se MOD pitää vielä portata uuteen versioon. Silloin kyllä kannattaa harkit mahdollisimman harvoin päivittyvän systeemin käyttöä. Tuo ihan minun mielipiteenäni - päivitykseen kun saattaa mennä muuten ihan kohtuuttomasti aikaa, jos sen tekee kunnolla. (Ainakaan minä en tee yhtään päivitystä ilman huolellista testausta ja jätän aina varaa myös rollback suunnitelmalle. Eli jos päivitys menee pahasti takamukselleen, voidaan palata edelliseen versioon n. 10 minuutissa. Webbi-härdelleissä tuota ei ole täytynyt muistaakseni käyttää kertaakaan, mutta muistta client-server-ympäristöissä on muutaman kerran joutunut vetään rollbackin vauhdilla. Ja huolellinen testaus = mahdollisimman samanlaisessa testiympäristössä kaikki asennetaan paikalleen ja varmistetaan, että tärkeimmät ominaisuudet toimivat yhä odotetulla tavalla. En tykkää yllätyksistä!)

Teme

[mrl586]

Mitä itse olen noiden foorumsoftien kanssa touhunnut muutamia vuosia niin kyllä smf on huomattavasti parempi ja monipuolisempi ja ennen kaikkea turvallisempi kuin phpBB.

Mitkä ominaisuudet SMF:ssä on toteutettu paremmin kuin phpBB:ssä? Miten perustelet näkemyksesi forumisoftien turvallisuudesta?

(monipuolisuutta arvioidessa pitää ottaa huomioon se, että phpBB:hen ei ole käytännössä lisätty uusia ominaisuuksia vuoden 2002 huhtikuun jälkeen. kun monipuolisuutta vertaillaan, pitää vertailukohteeksi valita phpBB 3.0)

[Teme]

Ilmeisesti phpbb3 ei ole vielä edes minkäänlaisessa release candidate tai beta tilassa? Ainakaan pääsivuilta ei helposti löytynyt mitään moista meinaa. Jos jotain kannattaa verrata, niin varmaan lähinnä phpbb 2.0.19:ä ja SMF 1.0.6:sta. Siinä on molempien viimeinen virallinen ei-testversiojulkaisu.

Turhaapa tuo foorumin valinta on jonkinlainen uskonto. Erilaiset vaatimukset ja tarpeet, erilaiset valinnat. Mutta jos jollain on kunnon yleispätevä vertailu phpBB:n ja SMF:n paremmuudesta, niin mielelläni taitaisin lukaista läpi (ja luultavasti todeta, että vertailu on puhtaasti subjektiinen ja kelvoton riippumatta tuloksesta.) Arvioinnin voi tehdä vain tarpeista käsin. Tuotannon prosessi voidaan arvioida kyllä käyttäjän tarpeista riippumattomasti ja ehkä joidenkin yksittäisten osa-alueiden laatu.

Teme

[mrl586]

Ilmeisesti phpbb3 ei ole vielä edes minkäänlaisessa release candidate tai beta tilassa?

PhpBB 3.0 ei ole vielä beta-tilassa. Tämän aiheen mukaan beta-versio julkaistaan lähiviikkoina, joten ohjelmisto on jo lähes beta-kunnossa. PhpBB:n kehittäjien postituslistan aktiivisuudesta päätellen beta-versio voi tulla jo muutaman päivän sisällä.

[M@D-M@X]

Mitä itse olen noiden foorumsoftien kanssa touhunnut muutamia vuosia niin kyllä smf on huomattavasti parempi ja monipuolisempi ja ennen kaikkea turvallisempi kuin phpBB.

Mitkä ominaisuudet SMF:ssä on toteutettu paremmin kuin phpBB:ssä? Miten perustelet näkemyksesi forumisoftien turvallisuudesta?

(monipuolisuutta arvioidessa pitää ottaa huomioon se, että phpBB:hen ei ole käytännössä lisätty uusia ominaisuuksia vuoden 2002 huhtikuun jälkeen. kun monipuolisuutta vertaillaan, pitää vertailukohteeksi valita phpBB 3.0)

No eiköhän se käytännöllisyys ja monipuolisuus ole yksi tärkeimpiä perusteita kelle tahansa. Siitä vaan lataamaan kummatkin foorumit käyttöön vaikka johonkin koesaitille ja sit hallintapanelit auki ja tsekkaamaan mitä löytyy toisesta enemmän tai paremmin hoidettuna kuin toisesta. Oma valintani foorumiksi on smf ja perussyy siihen on paremmin ja laajemmin toteutettu moderointi mahdollisuus sekä paljon pienempi versiokehitys ja vähäisemmät kriittisten tietoturvaaukkojen paikkailut.

[mrl586]

Oma valintani foorumiksi on smf ja perussyy siihen on paremmin ja laajemmin toteutettu moderointi mahdollisuus...

Mitkä moderointiominaisuudet SMF:ssä on toteutettu paremmin kuin phpBB:ssä. PhpBB:n version 3.0 ominaisuuksiin voit tutustua täällä.

[Tapsa]

Onko Invision-boardilla mitään yhteyttä phpBB-boardin kanssa? Aikaisemmin ainakin olivat kovin saman oloisia ja näköisiä.

http://www.invisionpower.com/ip.dynamic/products/board/index.html [nofollow]

[M@D-M@X]

Oma valintani foorumiksi on smf ja perussyy siihen on paremmin ja laajemmin toteutettu moderointi mahdollisuus...

Mitkä moderointiominaisuudet SMF:ssä on toteutettu paremmin kuin phpBB:ssä. PhpBB:n version 3.0 ominaisuuksiin voit tutustua täällä.

Noi vastaavat ominaisuudet näyttäs olevan jo käytössä rc2.ssa joka tuntuu olevan vakaa hyvin toimiva softa. 

[Owdy]

Oma valintani foorumiksi on smf ja perussyy siihen on paremmin ja laajemmin toteutettu moderointi mahdollisuus...

Mitkä moderointiominaisuudet SMF:ssä on toteutettu paremmin kuin phpBB:ssä. PhpBB:n version 3.0 ominaisuuksiin voit tutustua täällä.

Kummallista verrata SMFää softaan jota ei ole edes julkaistu vielä. Edes betana. 

[VP]

Samaa ajattelin minäkin. Minusta pitäisi vertailla tällä hetkellä uusimpia saatavilla olevia versioita. mrl586:lla ei käsittääkseni ole kokemusta kummastakaan, ei phpBB 3.0:sta saati sitten SMF:stä. Tai sitten olen ymmärtänyt asian väärin.

[Teme]

Ehkäpä sitä sitten oikeasti alkaa pohtimaan muutakin kuin nimeä, kun itse joutuu omalla vähäisellä vapaa-ajalla ylläpitämään (= säätämään toimintaan, päivittämään, varmistamaan tominnan jne.) ja moderoimaan foorumia. Minä en esim. laittaisi cvs:stä napattua versiota enkä beta-nimikkeellä olevaa tuotantokäyttöön. RC:hen uskallan usein koskea, jos se ei ole mikään todella todella tärkeä ja mission critical (, jolloin kyllä mentäisiin hommat väsäämään aivan  eri reittiä) systeemi ja RC on jo näyttänyt muiden kohdalla, että se yleensä toimii kohtuullisen hyvin.

phpbb3:een en voinut SMF:ää verrata (enkä tule vertaamaan ilman todella hyvää syytä), koska phpbb3:sta ei ollut valmiina pakettina. Daily Snapshotit on aina sellaisa, että niitä en ottaisi edes testikäyttöön kuin tilanteessa, jossa joudun itse kehittämään tuotetta tai siitä maksetaan kunnon palkkaa. phpbb2:een vertasin - oli useampi testiasennus phpbb2:sta käyttävän live-järjestelmän rinnalla - ja totesin, että SMF pesee mennen tullen. RC2:een on tullut tasan yksi tietoturvapäivitys koko olemassa olon aikana. PhpBB 2.0.19 on julkaistu 30.12. ja oli "taas yksi tietoturvapäivitys", joka olisi vaatinut kohtuutonta säätämistä vapaa-ajan projektiin. Minulla ei ole pokkaa pitää reikäseksi tietämääni järjestelmää pystyssä! Eli parempi oli sitten saman tien säätää SMF käyttöön, vaikka käyttöönotto vaati n. 15 tuntia työtä mm. varmistusten ja testaamisten takia. (PhpBB:n päivitys oli aina vähintään 3h:n homma testausten kanssa! Suurin osa ajasta menee modien takia... hurraa! Odotan kunnon plugin rajapintaa niin phpbb:hen kuin smf:ään...)

Nyt meni (tuurilla) SMF:n tietoturvapäivitys alle 15 minuutissa. Sen sykli oli: hae paketti. Pura. Katso diffillä muutokset. Varmista, että ei ole modien aiheuttamia eroja. Kopioi tiedostot vanhojen päälle. Jos olisi diffien perusteella ollut pienikin riski ongelmiin, olisin tehnyt sen: pystytä testiympäristö, joka on mahdollisimman identtinen live-ympäristön kanssa (valmis - vaatii vain paketin purun, parin tiedoston kopioinnin ja sql-dumpin ajon testikantaan). Päivitä, tarkista. Varmista modien toiminta. Korjaa modit. Varmista. Tee diff-paketti muutoksista. Varmuuskopioi live-tietokanta. Varmuuskopioi live-tiedostot. Aja diffit live-ympäristöön. Testaa. Jos tulee yllättäviä ongelmia, palauta vanhat.

Eli tuossa hieman tietoa yhden ylläpitäjän työstä.

Teme

[mrl586]

mrl586:lla ei käsittääkseni ole kokemusta kummastakaan, ei phpBB 3.0:sta saati sitten SMF:stä. Tai sitten olen ymmärtänyt asian väärin.

Minulla on kokemusta molemmista ohjelmista (phpBB 2.1.x ja SMF 1.0.6).

[Owdy]

Nyt meni (tuurilla) SMF:n tietoturvapäivitys alle 15 minuutissa. Sen sykli oli: hae paketti. Pura. Katso diffillä muutokset. Varmista, että ei ole modien aiheuttamia eroja. Kopioi tiedostot vanhojen päälle. Jos olisi diffien perusteella ollut pienikin riski ongelmiin, olisin tehnyt sen: pystytä testiympäristö, joka on mahdollisimman identtinen live-ympäristön kanssa (valmis - vaatii vain paketin purun, parin tiedoston kopioinnin ja sql-dumpin ajon testikantaan). Päivitä, tarkista. Varmista modien toiminta. Korjaa modit. Varmista. Tee diff-paketti muutoksista. Varmuuskopioi live-tietokanta. Varmuuskopioi live-tiedostot. Aja diffit live-ympäristöön. Testaa. Jos tulee yllättäviä ongelmia, palauta vanhat.

Eli tuossa hieman tietoa yhden ylläpitäjän työstä.

Teme

Ei sitä noin vaikeasti ois tarvinnu tehdä. Pakettienhallinnalla nämä päivitykset kannattaa tehdä. Siellä pakettienhallinnassa oli päivitys valmiina. Päivitysmodi etsii tiedostoista niitä päivitettäviä kohtia ja korvaa ne kohdat uusilla. Jos jotain näistä kohdista olis muokattu, modi ei löytäs etsimäänsä kohtaa. Se ei ajais päivitystä läpi vaan antais silloin virheilmon.

Eli olisit selvinnyt k.o päivityksestä todennäköisesti parissa sekunnissa. Kannattaa katsoa aina pakettienhallinan 'Viimeisimmät paketit' kohtaa. Siinä on aina linkki seuraavaan versioon jos sellainen on saatavissa. Eli jos sulla olsi vaikka 1.0.2, siinä näkys paketti 1.0.3. Senkun ajaisit, siinä näkys sitten 1.0.4 jne. Toki suoraankin voi päivittää, mutta sitten se vaatii sen upgrade paketin. Mutta seuraavaan versioon kannattaa aina käyttää pakettienhallintaa. Se tekee vain tarvittavat muutokset eikä korvaa kaikkia filuja. Säästyy modit paremmin.

[Teme]

Sori Owly, mutta olen hyvin paranoidi noihin päivityksiin. Teen itse ammatikseni softakehitystä ja tehnyt sitä "jokusen tovin". Sinä aikana tullut nähtyä niin monta ongelmaa, että en luota sokeeseen toiminnassa olevan järjestelmän päivitykseen ilman, että olen testannut sen päivityksen ekana. Työpöytäkoneen voin rauhassa päivittää, koska siihen tulevista ongelmista ei kukaan muu kärsi kuin minä. Mutta palvelin on sellainen, että siihen teen jokaisen päivityksen niin varovaisesti kuin suinkin mahdollista. Jos joku menee pieleen, niin korjaamiseen menee sitten sen verran aikaa, että oksat pois. Parempi, että tuhoan testiympäristön kuin live-ympäristön.

Ja sitten mitä useampi komponentti pyörii, sitä mieluummin testaan. Jo pelkkä smf vaatisi testauksen, mutta kun meillä on smf+joomla+yksi mod+monta joomlan kanssa integroitua komponenttia. Siinä en halua/uskolla ottaa mitään sellaista riskiä, mikä saattaa rikkoa jotain. Suosittelen tutustumaan vaikkapa ITIL-standardiin. Päivitysten yhteydessä on hyvä varmistaa aina, että on rollback-mahdollisuus eli palauttaa edellinen asennus. Jotkut live-ympäristöt saavat kiittää onneaan, että teen kaiken sillä tavalla, että rollback on mahdollista. Tullut kolme 2 minuutin katkoa sen sijaan (asenna->oho ei toimi -> vanha takaisin -> korjaa kaikessa rauhassa päivitys kondikseen/odota, että ongelmat korjataan -> tee päivitys), että olisi olisi tullut yksi puolen tunnin katko. Nämä ovat vain niitä best practice toimintoja, jotka on tullut kokemuksesta eikä vain ITIL-standardista.

Teme