Тема вообщем такаая.Вопрос ко всем читающим этот топик. Какой форум вы считаете самым безопасным(самописный не в счёт) и почему? Я не спорю,что данный список можно сделать проанализировав багтраки,но просто хочется прочитать аргументированное мнение народа.
Трудно ответить на этот вопрос. Каждый движок имеет свои недостатки и преимущества. Могу только описать какие свойства ДОЛЖЕН иметь хороший движок: 1) Идентификация пользователей по кукам, хранящим номер сессии или хеш-пароля (первое - предпочтительней). Крайне слабо защищены форумы передающие хеш/сессию методом GET или хранящие пароль в незашифрованном виде (такое не так уж и редко встречается). 2) BB теги должны очень тщательно парсится, воизбежание возможности XSS (в данный момент самый лучший в этом плане - phpBB). 3) Админка должна иметь двойной уровень защиты. При входе в админку юзер должен вводить свой пароль еще раз (это предотвращает доступ к админке, зная только хеш пароля). 4) Админка не должна давать возможности заливать произвольные файлы на сервер (в этом плане сейчас лучший также phpBB) Это основные пункты. Есть еще конечно масса нюансов, но это главное. Сейчас ни один движок не удовлетворяет всем пунктам. Совокупно, наиболее предпочтителен VBulletin 3, но он, к сожалению, имеет XSS. phpBB также неплох, но имеет ряд SQL-inj, кроме того несколько примитивен в использовании.
