hsientsung 寫:難道沒有大大能夠抽空幫 plus 修正外掛的安全漏洞?
假如我把 phpBB 比喻成一隻怪獸的話,那 Plus 就是一隻長了三頭六臂大怪獸.
phpBB 已需要多位開發人員來作 DeBug 或補強升級的工作了,你想誰能有辦法去單獨面對那隻三頭六臂的 Plus ??
有勇氣去裝 Plus 人,就要有勇氣去承擔 Plus 他那一卡車的外掛可能引起的 Bug 漏洞,更別天真到以為裝了 Plus 後,就可以什麼都不用管了,反正只要等待下次 Plus 的升級版本出來,才來作升級動作.........若真有這種天真的想法,可是大錯特錯的.就因為你裝了 Plus ,所以你就得必須付出事後要補強(升級)其各別外掛的工作(我說的是其各別外掛補強,不是等待 Plus 升級).phpBB Plus,本身主體還是一樣跑 phpBB 2,要說本身主體會有安裝漏洞的機率是相當的低,而問題就出在那附加於主體上面為數眾多的外掛身上.誰能保證那些眾多的外掛是各各都無安全疑慮的?
實際的做法就是你得去針對其內部的每個外掛去作
各別的補強與修正(這些補強與修正當然有賴你去逐一搜尋),只要找到與 Plus 內部的外掛相同且版本更高者(
版本更高者大都意味著其安全性更高),就得立刻自己動手替 Plus 內部的外掛作更新動作.
又或當得知有 Plus 內部的某外掛可能引起安全顧慮,但卻無更新的補強作法時,則將此外掛給各別拆除(至於要怎麼拆,又賴你自己去搜尋..........秘訣:
拆與裝其實是一體兩面的).
所以當 Plus 出現安全漏洞時,絕不是消極等待下一次的 Plus 更新版本問世,才來作更新動作,時時更新 Plus 內部的各外掛(或拆除)才是正確的防禦漏洞做法.