Porque phpBB es una mierda!
Publicado el by QuasaR 04 Junio 2006 en GeneralSoy absolutamente desconocedor de este software pero tengo la osadia de asegurar que phpBB es basura. Nunca lo he instalado pero sus 69 bugs hacen que le pierda cualquier tipo de respeto. Me da igual si esta bien o esta mal. Me la bufa. Simplemente es inadmisible.
Y eso que entre los 69 bugs no se incluye el puñetero atractivo para toda la morralla que internet tiene: basura, urls no deseadas y en definitiva SPAM. Un ejemplo:
Se crea un usted un robot que busque en google (que existe para lo bueno y para lo malo) la pagina de registro de todos los phpBB que pueda. En mi dominio prueba.es seria:
http://www.prueba.es/phpBB/profile.php?mode=register&agreed=true
Cuando hacemos la peticion de la pagina el phpBB nos aporta la pagina junto con dos preciosas cookies:
Set-Cookie: phpbb2mysql_data=a%3A0%3A%7B%7D; expires=Mon, 04 Jun 2007 11:56:46 GMT; path=/ Set-Cookie: phpbb2mysql_sid=ebfb1fd6f06ebe2514327f2981d847aa; path=/
En la pagina se observan todos los datos de registro mas el puñetero control donde se representa una imagen con numeros que debemos teclear. De esta forma phpBB se asegura que somos humanisimos y no robotitos. Pero lo cierto es que si nos fijamos bien en el codigo de susodicha imagen vemos lo siguiente:
td class="row1 two txtcenter" colspan="2">If you are visually impaired or cannot otherwise read this code please contact the a href="mailto:admin@prueba.es">Administrator /a> for help. br /> br />img src="profile.php?mode=confirm&id=2db5b00a7efa0ef14bbd65fc753d545c& sid=ebfb1fd6f06ebe2514327f2981d847aa" alt="" title="" />br />br />/td>
Donde ademas del sid que identifica al usuario-sesion, hay un id que parece identificar la imagen que no vemos, pero, tambien será la confirmacion del registro???.
Pues mire usted, va a ser que si!.
Analizando un poco vemos que para confirmar el registro tan solo hay que mandar un GET de la forma:
GET http://www.prueba.es/phpBB/profile.php?mode=confirm&id=db5b00a7efa0ef14bbd65fc753d545c&sid= ebfb1fd6f06ebe2514327f2981d847aa HTTP/1.1
Evidentemente el sid es la famosa cookie y el id viene en la susodicha imagen de control. Ahora el robotito deberia rellenar los datos del perfil (profile). Mandamos el churro correspondiente:
POST http://www.prueba.es/phpBB/profile.php?sid=ebfb1fd6f06ebe2514327f2981d847aa HTTP/1.1.
Y dentro del POST metemos lo que necesita nuestro querido phpBB, o sea, que cogemos el analizador de turno y vemos como hace el post. Y vemos que ese post lleva:
website=http://miperfil.prueba.es&mode=register&hideonline=0&msn=&email=test%40mail%2ees&allowhtml=1 &password_confirm=mipass&confirm_id=db5b00a7efa0ef14bbd65fc753d545c¬ifypm=0& dateformat=D%20M%20d%2c%20Y%20H%3ai&timezone=%2d9&allowbbcode=1&location=&viewemail=0&occupation= &new_password=mipass&username=soyyo&attachsig=1&signature=&autologin=1&yim=&submit=Submit& icq=&agreed=true&confirm_code=4BEAIF&interests=&language=english&popup_pm=0&style=1&aim=&coppa=0 ¬ifyreply=0&allowsmilies=1
Ale… usuario registrado desde un script de mierda y preparense ustedes a acabar de propaganda en el foro hasta en la sopa. AH! filtro-antispam tienen? no? ah que usuarios registrados no tienen filtro, ok ok.
La pregunta del millon: de que huevos sirve la imagen de control?????
En fin, me mantengo en mis trece… ahi queda una opinion mas en el monton.
Y que instalarias tu si necesitases un sistema libre de foros? hay otros muchos con los mismos problemas, incluso peores solo que menos populares y al ser menos populares los spamers no hacen robots aunque la implementación sea aún más mierda que la del phpbb. Yo utilizo phpbb2 y no es que me parezca una maravilla pero igual utilizo este por que desconozco otro mejor.
Hola Sien…
Pues no tengo ni idea. Que puedo decirte. No lo se, no me he visto en el caso de tener que instalar foros.
punBB
Pues yo me cree mi propio sistema de foros :D; kizas tenga mas fallos k una escopeta de feria pero a diferencia del phpBB mi foro solo es usado por mi y nadie se dedica a buskar fallos excepto yo; k pasa pues digamos k soy como un Windows entre una inmensidad de Linux, el mio es codigo cerrado el de la gente es codigo abierto.. kien es mas seguro?? decidanlo ustedes
pues el mas seguro, es el de odigo abierto, ya que aunke puedes ver el soruce y explotarle, a la vez puedes ver el szoruce y parxearlo, siendo privado, si te lo petan tu solito lo vas a tener ke arreglar y joderte xD
Todavia sigo preguntandome porque los foros como PHPbb no usan la JPGRAPH (Con su maravilloso(literalmente) generador de imagenes antispam) que es mucho mas dificil saltarse. Tampoco entiendo porque pasan un id de confirmacion, en lugar de almacenar el valor real de la imagen en una variable php(no visible a nivel de usuario directamente en el source ni en la cookie), y comprobar que es el mismo que el introducido por el usuario en la fase de confirmacion…
Misterios sin resolver….
Un slaudo!
website=http://miperfil.prueba.es&mode=register&hideonline=0&msn=&email=test%40mail%2ees&allowhtml=1
&password_confirm=mipass&confirm_id=db5b00a7efa0ef14bbd65fc753d545c¬ifypm=0&
dateformat=D%20M%20d%2c%20Y%20H%3ai&timezone=%2d9&allowbbcode=1&location=&viewemail=0&occupation=
&new_password=mipass&username=soyyo&attachsig=1&signature=&autologin=1&yim=&submit=Submit&
icq=&agreed=true&confirm_code=4BEAIF&interests=&language=english&popup_pm=0&style=1&aim=&coppa=0
¬ifyreply=0&allowsmilies=1
confirm_code=4BEAIF En este punto me he perdido un poco. ¿De dónde sale eso? ¿Se supone que este parámetro se puede conseguir automáticamente del servidor?