Erste Eindrücke zu vBulletin 3.0 Beta 3

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

13.06.2003 - 23:56

Jelsoft hat Heute endlich den Nachfolger der vBulletin 2.x Serie veröffentlicht. Ich habe es jetzt auf meinen lokalen Testserver installiert.

Hier meine ersten Eindrücke:

Download
In den vB Member Area kann man sich den Download ganz nach Geschmack konfigurieren. So lässt sich u.a. auswählen welche Extension (.php / .php3 / .phtml / .html) man verwenden will und ob das ganze als CGI läuft. Ein Klick auf Download und schon ladet sich ein 1,2MB lange ZIP Archiv herunter.

Installation
Gleich beim Entpacken fällt auf das sich viel geändert hat. Es gibt wesentlich mehr Unterverzeichnisse. So findet man beispielsweise im includes Verzeichnis viele kleine Libraries.

Die Installation findet in 13 Schritten statt. Am Schluss darf man sich endlich in das Admin Center einloggen.

80 Tabellen
Jetzt wurde es Zeit phpMyAdmin anzuwerfen um sich den Tabellenaufbau anzusehen. Gerüchten zufolge soll vB 3.0 ganze 80 Tabellen benötigen, in Wirklichkeit sind es aber 87(!!) :eek:

U.a. werden jetzt Posting oder Threadzähler in separaten Tabellen zwischengespeichert um die Performance zu erhöhen. Auch sonst versucht Jelsoft alles wieder krampfhaft in der Datenbank zu speichern. So gesellt sich jetzt zu den Templates auch ein Language Pack dazu.

Features
Wie schon zu erwarten war ist vB 3.0 von den Features her Overkill.

Neben einigen brauchbaren Funktionen wie mehrfach Attachments oder gemeineren Sachen wie Invisible Ban gibt es auch viele unsinnige Features. Dazu zählt meiner Meinung nach die Möglichkeit, Smilies in Kategorien einzuteilen um das ganze dann zu sortieren. Man kann es auch übertreiben :rolleyes:

Soviel fürs erste

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

14.06.2003 - 17:15

Noch einige Screenshots vom Control Panel:

Links kann eingestellt werden ob die Zähler wie Threadsviews sofort oder nur stündlich aktualisiert werden sollen. Rechts lassen sich diese Cronjobs konfigurieren

Weiteres gibt es jetzt die Möglichkeit bezahlter Abos (Links). Wobei vB 3.0 derzeit nur mit Paypal richtig funktioniert. Der Rechte Screenshot ist ein gutes Beispiel für unnötige Features.

Was mir überhaupt nicht gefällt
Die Suchfunktion ist nahezu identisch mit vB 2.x. Eine optionale MySQL 4.0 Unterstützung (Volltextsuche) wäre wünschenswerter gewesen.

Das Template System ist unübersichtlich wie eh und je.

In der wsyiwyg.js kann man gleich zu Beginn lesen das man für weitere Informationen http://msdn.microsoft.com konsulutieren soll. Ich brauche wohl noch extra zu erwähnen das man für volle Funktionalität (wysiwyg Editor) einen Browser aus Redmond benötigt.

Änderungen im Datenbankaufbau
Jetzt wirds technisch

Eine sehr signifikante Änderung gibt es in den Passwörten. Passwörter werden jetzt praktisch doppelt verschlüsselt.

Beispiel:

Code: PHP

$password = "Passwort";
$password = md5($password);

//vBulletin 3.0 Erweiterung
for ($i=1;$i<4;$i++) $salt .= chr(rand(0,255)); 
$password = md5($password.$salt);

$salt wird im Feld salt in der Tabelle user gespeichert.

Die Signature wurde in eine neue Tabelle namens usertextfield ausgelagert. Dort wird u.a. auch die Buddyliste und einige andere Dinge gespeichert.

Fazit
Ingesamt habe ich bisher kein einziges wirkliches "Killer Feature" entdecken können was den Kauf gegenüber der Konkurrenz rechtfertigen würde. Ich hätte mir da schon irgendwie mehr erwartet.

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

14.06.2003 - 17:25

ja, ich erkenne ausserdem einige v4-feature wieder :eek:

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

15.06.2003 - 00:38

naja, mal ein final abwarten und dann werd ich denk ich schon upgraden

finde vbulletin nach wie vor top

früher wars mal UBB, aber die haben dann stark nachgelassen

flaimo

ILFTKYS

Registered: Dec 2001
Location: ask a ninja
Posts: 872

15.06.2003 - 01:01

also ich würd niemals 160$ für a brettl ausgeben. invisionboard kommt dem vbulletin scho ziemlich nahe was features angeht und kostet gar nix wenn ma kan support braucht.

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10333

19.06.2003 - 00:16

nur so nebenbei... ein md5 passwort kann man doch eh nicht entschlüsseln oder? was hat das dann für einen sinn das ganze 2x zu verschlüsseln :confused:

Wurde auch was am "äußeren" geändert? also aussehen und funktionalität für den user (und ned für den admin

)

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

19.06.2003 - 08:17

md5 ist nicht 100%ig sicher.
es hat einige kryptografische schwächen, ausserdem eine (relativ) geringe keylänge, sodass man relativ schnell bruteforcen kann - das ergebnis des bruteforce ist dann entweder ein passwort, mit dems "auch geht" aufgrund des selben hashes (wahrscheinlich) oder das korrekte passwort (unwahrscheinlich).

eigentlich sollte man SHA-1 (secure hash algorithm) verwenden, aber man kan sich natürlich auch mit seeds spielen, um die verschlüsselung komplizierter zu machen, wie es vB macht.

Ringding

Pilot

Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300

19.06.2003 - 11:06

Hast du für diese Behauptungen auch eine kompetente Quelle?

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

19.06.2003 - 11:14

Zitat
Wurde auch was am "äußeren" geändert? also aussehen und funktionalität für den user (und ned für den admin )

Probiere es selber aus: http://www.vbulletin.com/forum/index.php

In der Zwischenzeit sind zwei Fakten bekannt geworden:
1) vB 3.0 benötigt im Durchschnitt ~15 Queries pro Seite, Invision Power Board dagegen ~11 Queries pro Seite.
2) Das Google Archiv, eine neue Funktion die helfen soll das Board besser in Google zu indexieren, geht nach hinten los. Google hält die doppelten Seiten für Spam und ignoriert sie.

Zitat
invisionboard kommt dem vbulletin scho ziemlich nahe was features angeht und kostet gar nix

Es kostet $59.95/Jahr, zwar kannst du 1.2 für unlimitierte Zeit probieren aber:

1) Has keinen Zugriff auf die erweiterten Features wie WYSIWYG Editor die als Plugin veröffentlicht werden
2) Steht ein (U) im Powered by was darauf hinweist das du eine Testfassung betreibst.

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

19.06.2003 - 11:21

Zitat von Ringding
Hast du für diese Behauptungen auch eine kompetente Quelle?

http://citeseer.nj.nec.com/68442.html

"Although both MD4 and MD5 were shown to have security flaws"

nachdem MD5 eine prüfsumme von 128 bit hat, gibts logischerweise 2^128 möglichkeiten. klingt viel, aber dass es relativ schnell zu bruteforcen ist, wird dort auch erwähnt - nach 10 stunden an einem damaligen pentium pc (1996) findet man zeichenketten, die den selben hash erzeugen - und ist es nicht sinn einer hashfunktion, _eindeutige_ hashes zu erzeugen?

"We think that this might be reason enough to substitute MD5 in future applications. Alternatives for MD5 are SHA-1 and on the other hand RIPEMD-160"

Ringding

Pilot

Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300

19.06.2003 - 11:40

Interesting. Ein paar Dinge fallen mir aber auf:

Was ist die compress function von MD5? Ist das der "normale" Betriebsmodus oder nur eine Spezialvariante, die eh nie verwendet wird?

So wie sich das anhört, ist es zwar möglich, ein Paar von kollidierenden Keys zu finden, aber nicht einen neuen Key, der einen gegebenen Hash erzeugt. Genau das bräuchte man aber zum Passwort knacken.

Bearbeitet von Ringding am 19.06.2003, 16:34

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

19.06.2003 - 15:37

von md4 war mir auch schon was bekannt, md5 ist mir neu.

die größte gefahr geht imho von dictionary attacks aus, weil die schwächste stelle in der kette, der mensch bei der wahl seines passwortes, darstellt. wie soll aber ein doppeltes md5 bzw salt den dictionary attack vereiteln?

das einzige das es vereiteln könnte, wäre, wenn es bereits vorberechnete dictionaries gibt...?

falls jemand auf die idee kommen sollte, sich eine datenbank aufzubauen, in dem er jeden möglichen md5-hash gegen einen möglichen erzeuger string matched, der braucht ca 50.70.602.400.912.917.605.986.812.821.504 Gigabyte festplattenplatz.

falls jemand mehr zum thema herausfindet, bitte ich um info.

//edit:
ahh.. jetzt sehe ich was der salt bewirken soll: beim alten system hätte ein hacker ein wort aus dem dictionary genommen, es gehashed, und gegen alle passwörter verglichen, dann wieder ein wort genommen,....

das salt zwingt den hacker die dictionary-wörter für jeden user neu zu hashen.

einen hacker werden aber im normalfall sowieso nur eine handvoll admin-accounts interessieren.

vorraussetzung ist einmal, daß der hacker zugriff auf die datenbank erhält, daß er die werte auslesen/überprüfen kann (so wie es vor kurzem beim informatik-forum der tuwien/fachschaft gekommen ist)

//Edit2:
also sind andere md5 anwendungen (wie zb challenge-response-verfahren) oder file hashing immer noch als "sicher" anzusehen ?

Bearbeitet von atrox am 19.06.2003, 15:52

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

19.06.2003 - 16:28

die passwort-verschlüsselung bringts sowieso nur, wenn das passwort schon bei der übertragung verschlüsselt wird (mittels javascript), nur das wirds ja bei vb3 afaik auch nicht.

Dass die DB zum Lesen aber nicht zum Schreiben öffentlich ist, wird in den seltensten Fällen passieren.

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

19.06.2003 - 17:25

der hack des informatik-forums, passierte so, daß unbekannte durch unachtsamkeit des admin (wieder ist der mensch das schwächste glied in der kette) an ein db-backup-dump herankamen.

wenn man schon ein ein javascript md5 hashen läßt, sollte man unbedingt ein challenge-response verfahren implementieren, ansonsten könnte jemand den hash abfangen und immer wieder verwenden.

Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	13.06.2003 - 23:56 Jelsoft hat Heute endlich den Nachfolger der vBulletin 2.x Serie veröffentlicht. Ich habe es jetzt auf meinen lokalen Testserver installiert. Hier meine ersten Eindrücke: Download In den vB Member Area kann man sich den Download ganz nach Geschmack konfigurieren. So lässt sich u.a. auswählen welche Extension (.php / .php3 / .phtml / .html) man verwenden will und ob das ganze als CGI läuft. Ein Klick auf Download und schon ladet sich ein 1,2MB lange ZIP Archiv herunter. Installation Gleich beim Entpacken fällt auf das sich viel geändert hat. Es gibt wesentlich mehr Unterverzeichnisse. So findet man beispielsweise im includes Verzeichnis viele kleine Libraries. Die Installation findet in 13 Schritten statt. Am Schluss darf man sich endlich in das Admin Center einloggen. 80 Tabellen Jetzt wurde es Zeit phpMyAdmin anzuwerfen um sich den Tabellenaufbau anzusehen. Gerüchten zufolge soll vB 3.0 ganze 80 Tabellen benötigen, in Wirklichkeit sind es aber 87(!!) U.a. werden jetzt Posting oder Threadzähler in separaten Tabellen zwischengespeichert um die Performance zu erhöhen. Auch sonst versucht Jelsoft alles wieder krampfhaft in der Datenbank zu speichern. So gesellt sich jetzt zu den Templates auch ein Language Pack dazu. Features Wie schon zu erwarten war ist vB 3.0 von den Features her Overkill. Neben einigen brauchbaren Funktionen wie mehrfach Attachments oder gemeineren Sachen wie Invisible Ban gibt es auch viele unsinnige Features. Dazu zählt meiner Meinung nach die Möglichkeit, Smilies in Kategorien einzuteilen um das ganze dann zu sortieren. Man kann es auch übertreiben Soviel fürs erste
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	14.06.2003 - 17:15 Noch einige Screenshots vom Control Panel: Links kann eingestellt werden ob die Zähler wie Threadsviews sofort oder nur stündlich aktualisiert werden sollen. Rechts lassen sich diese Cronjobs konfigurieren Weiteres gibt es jetzt die Möglichkeit bezahlter Abos (Links). Wobei vB 3.0 derzeit nur mit Paypal richtig funktioniert. Der Rechte Screenshot ist ein gutes Beispiel für unnötige Features. Was mir überhaupt nicht gefällt Die Suchfunktion ist nahezu identisch mit vB 2.x. Eine optionale MySQL 4.0 Unterstützung (Volltextsuche) wäre wünschenswerter gewesen. Das Template System ist unübersichtlich wie eh und je. In der wsyiwyg.js kann man gleich zu Beginn lesen das man für weitere Informationen http://msdn.microsoft.com konsulutieren soll. Ich brauche wohl noch extra zu erwähnen das man für volle Funktionalität (wysiwyg Editor) einen Browser aus Redmond benötigt. Änderungen im Datenbankaufbau Jetzt wirds technisch Eine sehr signifikante Änderung gibt es in den Passwörten. Passwörter werden jetzt praktisch doppelt verschlüsselt. Beispiel: Code: PHP `$password = "Passwort"; $password = md5($password); //vBulletin 3.0 Erweiterung for ($i=1;$i<4;$i++) $salt .= chr(rand(0,255)); $password = md5($password.$salt);` $salt wird im Feld salt in der Tabelle user gespeichert. Die Signature wurde in eine neue Tabelle namens usertextfield ausgelagert. Dort wird u.a. auch die Buddyliste und einige andere Dinge gespeichert. Fazit Ingesamt habe ich bisher kein einziges wirkliches "Killer Feature" entdecken können was den Kauf gegenüber der Konkurrenz rechtfertigen würde. Ich hätte mir da schon irgendwie mehr erwartet.
Guest Deleted User Registered: n/a Location: Posts: n/a	14.06.2003 - 17:25 ja, ich erkenne ausserdem einige v4-feature wieder
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	15.06.2003 - 00:38 naja, mal ein final abwarten und dann werd ich denk ich schon upgraden finde vbulletin nach wie vor top früher wars mal UBB, aber die haben dann stark nachgelassen
flaimo ILFTKYS Registered: Dec 2001 Location: ask a ninja Posts: 872	15.06.2003 - 01:01 also ich würd niemals 160$ für a brettl ausgeben. invisionboard kommt dem vbulletin scho ziemlich nahe was features angeht und kostet gar nix wenn ma kan support braucht.
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10333	19.06.2003 - 00:16 nur so nebenbei... ein md5 passwort kann man doch eh nicht entschlüsseln oder? was hat das dann für einen sinn das ganze 2x zu verschlüsseln Wurde auch was am "äußeren" geändert? also aussehen und funktionalität für den user (und ned für den admin )
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	19.06.2003 - 08:17 md5 ist nicht 100%ig sicher. es hat einige kryptografische schwächen, ausserdem eine (relativ) geringe keylänge, sodass man relativ schnell bruteforcen kann - das ergebnis des bruteforce ist dann entweder ein passwort, mit dems "auch geht" aufgrund des selben hashes (wahrscheinlich) oder das korrekte passwort (unwahrscheinlich). eigentlich sollte man SHA-1 (secure hash algorithm) verwenden, aber man kan sich natürlich auch mit seeds spielen, um die verschlüsselung komplizierter zu machen, wie es vB macht.
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	19.06.2003 - 11:06 Hast du für diese Behauptungen auch eine kompetente Quelle?
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	19.06.2003 - 11:14 Zitat Wurde auch was am "äußeren" geändert? also aussehen und funktionalität für den user (und ned für den admin ) Probiere es selber aus: http://www.vbulletin.com/forum/index.php In der Zwischenzeit sind zwei Fakten bekannt geworden: 1) vB 3.0 benötigt im Durchschnitt ~15 Queries pro Seite, Invision Power Board dagegen ~11 Queries pro Seite. 2) Das Google Archiv, eine neue Funktion die helfen soll das Board besser in Google zu indexieren, geht nach hinten los. Google hält die doppelten Seiten für Spam und ignoriert sie. Zitat invisionboard kommt dem vbulletin scho ziemlich nahe was features angeht und kostet gar nix Es kostet $59.95/Jahr, zwar kannst du 1.2 für unlimitierte Zeit probieren aber: 1) Has keinen Zugriff auf die erweiterten Features wie WYSIWYG Editor die als Plugin veröffentlicht werden 2) Steht ein (U) im Powered by was darauf hinweist das du eine Testfassung betreibst.
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	19.06.2003 - 11:21 Zitat von Ringding Hast du für diese Behauptungen auch eine kompetente Quelle? http://citeseer.nj.nec.com/68442.html "Although both MD4 and MD5 were shown to have security flaws" nachdem MD5 eine prüfsumme von 128 bit hat, gibts logischerweise 2^128 möglichkeiten. klingt viel, aber dass es relativ schnell zu bruteforcen ist, wird dort auch erwähnt - nach 10 stunden an einem damaligen pentium pc (1996) findet man zeichenketten, die den selben hash erzeugen - und ist es nicht sinn einer hashfunktion, _eindeutige_ hashes zu erzeugen? "We think that this might be reason enough to substitute MD5 in future applications. Alternatives for MD5 are SHA-1 and on the other hand RIPEMD-160"
Ringding Pilot Registered: Jan 2002 Location: Perchtoldsdorf/W.. Posts: 4300	19.06.2003 - 11:40 Interesting. Ein paar Dinge fallen mir aber auf: Was ist die compress function von MD5? Ist das der "normale" Betriebsmodus oder nur eine Spezialvariante, die eh nie verwendet wird? So wie sich das anhört, ist es zwar möglich, ein Paar von kollidierenden Keys zu finden, aber nicht einen neuen Key, der einen gegebenen Hash erzeugt. Genau das bräuchte man aber zum Passwort knacken. Bearbeitet von Ringding am 19.06.2003, 16:34
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	19.06.2003 - 15:37 von md4 war mir auch schon was bekannt, md5 ist mir neu. die größte gefahr geht imho von dictionary attacks aus, weil die schwächste stelle in der kette, der mensch bei der wahl seines passwortes, darstellt. wie soll aber ein doppeltes md5 bzw salt den dictionary attack vereiteln? das einzige das es vereiteln könnte, wäre, wenn es bereits vorberechnete dictionaries gibt...? falls jemand auf die idee kommen sollte, sich eine datenbank aufzubauen, in dem er jeden möglichen md5-hash gegen einen möglichen erzeuger string matched, der braucht ca 50.70.602.400.912.917.605.986.812.821.504 Gigabyte festplattenplatz. falls jemand mehr zum thema herausfindet, bitte ich um info. //edit: ahh.. jetzt sehe ich was der salt bewirken soll: beim alten system hätte ein hacker ein wort aus dem dictionary genommen, es gehashed, und gegen alle passwörter verglichen, dann wieder ein wort genommen,.... das salt zwingt den hacker die dictionary-wörter für jeden user neu zu hashen. einen hacker werden aber im normalfall sowieso nur eine handvoll admin-accounts interessieren. vorraussetzung ist einmal, daß der hacker zugriff auf die datenbank erhält, daß er die werte auslesen/überprüfen kann (so wie es vor kurzem beim informatik-forum der tuwien/fachschaft gekommen ist) //Edit2: also sind andere md5 anwendungen (wie zb challenge-response-verfahren) oder file hashing immer noch als "sicher" anzusehen ? Bearbeitet von atrox am 19.06.2003, 15:52
Guest Deleted User Registered: n/a Location: Posts: n/a	19.06.2003 - 16:28 die passwort-verschlüsselung bringts sowieso nur, wenn das passwort schon bei der übertragung verschlüsselt wird (mittels javascript), nur das wirds ja bei vb3 afaik auch nicht. Dass die DB zum Lesen aber nicht zum Schreiben öffentlich ist, wird in den seltensten Fällen passieren.
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	19.06.2003 - 17:25 der hack des informatik-forums, passierte so, daß unbekannte durch unachtsamkeit des admin (wieder ist der mensch das schwächste glied in der kette) an ein db-backup-dump herankamen. wenn man schon ein ein javascript md5 hashen läßt, sollte man unbedingt ein challenge-response verfahren implementieren, ansonsten könnte jemand den hash abfangen und immer wieder verwenden.

Erste Eindrücke zu vBulletin 3.0 Beta 3

Forum Index > Software > Coding Stuff

Philipp

Philipp

Guest

Cuero

flaimo

XeroXs

noledge

Ringding

Philipp

noledge

Ringding

atrox

Guest

atrox