Zurück   klamm-Forum > klamm.de > klamm talk

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 15.05.2007, 18:25:33   #16 (permalink)
Mod-Mami
Benutzerbild von Schnecke

ID: 59350
Lose-Remote

Reg: 20.04.2006
Beiträge: 1.675
Standard

Zitat:
Zitat von bartman Beitrag anzeigen
Mit diesen Bugs haette man mit einiger Arbeit ohne Schwierigkeiten auch die EF-Account kompromittieren koennen - und wenn nicht schon bei den privaten Daten das Spiel aufhoert, dann spaetestens dort.
Ja, aber Bug ist Bug.

Es ist ein Fehler, er ist einer Person passiert, als sie gearbeitet hat. Hast Du noch nie Fehler gemacht? Ich schon. Auch Fehler, die meinen Arbeitgeber richtig viel Geld hätten kosten können.

Aber es ist doch nichts passiert.

Ein Fehler war da, wurde gefunden und bereinigt.
Wie es jeden Tag im normalen Leben passiert.

Täglich verschwinden Rentner im Internet, weil sie "Alt" + "Entf." gleichzeitig drücken...
Schnecke ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:26:18   #17 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Toni - das kannst du von der technischen Seite her nicht ganz vergleichen...

SQL-Injections kann man definitiv global verhindern, ohne Nebenwirkungen, wenn man zum Beispiel eine Funktion wie queryf() verwendet, auf ein paar Kleinigkeiten achtet und diese auch richtig einsetzt!
Gegen Viren kann man letztendlich nichts tun, da sie sich oftmals tarnen, wie normale Programme (gibt im Grunde auch erstmal keinen Unterschied - man denke an Programme wie VNC, DriveImage, ...) . Ist die Signatur nicht bekannt, ist das Programm für den Virenscanner "clean" - ganz einfaches Prinzip. (eine Firewall lasse ich jetzt mal außen vor )

Ich finde es also weiterhin sehr bedenklich, dass hier soviele Datensätze offen herumgelegen haben, vielleicht sogar noch offen herumliegen. Mit solchen Daten ist nun wirklich nicht zu Spaßen.
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 15.05.2007, 18:30:27   #18 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von raven Beitrag anzeigen
SQL-Injections kann man definitiv global verhindern, ohne Nebenwirkungen, wenn man zum Beispiel eine Funktion wie queryf() verwendet, auf ein paar Kleinigkeiten achtet und diese auch richtig einsetzt!
ja ... und wenn man von den kleinigkeiten z.b. mal ein ' vergisst oder einen cast, wars das schon. da hilft auch dein queryf und sonstige sicherheits-funktionen nichts. sowas passiert. auch m$. sonst hätte ich nicht alle 2 tage ein "wichtiges sicherheitsupdate" von windows.
 
klamm ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:34:06   #19 (permalink)
وسيط المجتمع.
Benutzerbild von Bulette

Reg: 20.04.2006
Beiträge: 7.095
Standard

@ Raven ...

ziehe einmal nur das hoch, was Lukas Klamm hier (fast) allein hochgezogen hat. Mit all dem Umfang und all dem Service was er hier bietet. Und das ganze bitte fehlerfrei.

Wir lesen uns dann in 8-9 Jahren Arbeit die Du reinstecken wirst und musst wieder
Bulette ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:34:40   #20 (permalink)
Alter Benutzer

ID: 10149
Lose-Remote

bartman eine Nachricht über ICQ schicken
Reg: 07.05.2006
Beiträge: 501
Standard

Zitat:
Zitat von Schnecke Beitrag anzeigen
Es ist ein Fehler, er ist einer Person passiert, als sie gearbeitet hat. Hast Du noch nie Fehler gemacht? Ich schon. Auch Fehler, die meinen Arbeitgeber richtig viel Geld hätten kosten können.
Natuerlich hab ich Fehler gemacht, ich mach sie staendig. Ich wuerde Luke auch nichts ankreiden, wenn es irgendwelche normalen, nicht unbedingt vermeidbaren Fehler waeren. Aber die Bugs von denen wir sprechen sind systematische Fehler, die man durch entsprechende Verfahren nahezu komplett ausschliessen kann. Dass genau so etwas nicht gemacht wird und es auch noch als das normalste der Welt angesehen wird, find ich schlimm.
bartman ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:34:43   #21 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.545
Standard

Zitat:
Zitat von raven Beitrag anzeigen
Ich finde es also weiterhin sehr bedenklich, dass hier soviele Datensätze offen herumgelegen haben, vielleicht sogar noch offen herumliegen. Mit solchen Daten ist nun wirklich nicht zu Spaßen.
Und deshalb machst du diesen Thread? "Leute, kommt her, hier gab es einen Programmierfehler; ich bin sicher, dass da noch mehr zu finden ist".

Ich verstehe dich nicht. Du hast die Bugs (massenhafte, ganze 2) gefunden, sie gemeldet, und Lukas hat sie sofort behoben. Und? Was willst du mit diesem Thread erreichen? Außer, dass sich jetzt garantiert noch mehr Leute auf die Suche machen, die auch sicher nicht so "löbliche" Absichten wie du haben, sehe ich keinen weiteren Sinn.

Zitat:
Zitat von raven Beitrag anzeigen
Ja, eine Klammer kann man mal vergessen. Aber ich finde doch, das Thema ist es wert, hier angesprochen zu werden, denn es ist meiner Meinung nach doch sehr wichtig, und wenn es gleich im Doppelpack passiert, dann ist das für mich doch ein potentielles Risiko, dass das nochmal passiert.
Und deshalb machst du es öffentlich?

Es gibt nichts, was du nicht im direkten Gespräch mit Lukas hättest klären können. Aber dann hättest du ja nicht solche Aufmerksamkeit bekommen, oder?
.
Mone ist offline   Mit Zitat antworten
Alt 15.05.2007, 18:36:37   #22 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
ja ... und wenn man von den kleinigkeiten z.b. mal ein ' vergisst oder einen cast, wars das schon.
Strings kann man nicht ohne ' in einen Query einbauen, Integer dareinzusetzen find ich schon ziemlich merkwürdig um genau zu sein...
Sorry, aber das ist einfach so.

Zitat:
Zitat von klamm Beitrag anzeigen
da hilft auch dein queryf und sonstige sicherheits-funktionen nichts.
PHP-Code:
1:
$result queryf("SELECT foo FROM bar WHERE foo=%d"$_GET['foo']); 
vsprintf() lässt mit %d jetzt nur noch einen Integer-Wert zu. Alle Eventualitäten sind somit ausgeschlossen.
Wenn das PHP-Team nun Sch... baut, ist klamm in diesem Fall natürlich nichts vorzuwerfen, aber sowas fällt bei PHP (was nunmal auch gründlich ausgetestet wird) in der Regel sehr schnell auf, wenn sowas tatsächlich mal passiert. Das kann aber in jedem Fall passieren, auch C-Programmen, wenn die glibc mal ein Memory Leak hat.

Zitat:
Zitat von klamm Beitrag anzeigen
sowas passiert. auch m$. sonst hätte ich nicht alle 2 tage ein "wichtiges sicherheitsupdate" von windows.
Müssen wir jetzt wirklich mit MS vergleichen?
Ich habe Respekt vor dem, was sie geschaffen haben, sage auch, dass ich es nicht könnte - aber ausgereift ist es nun wirklich nicht.
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 15.05.2007, 18:41:04   #23 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Moin.

Ich vermiss hier irgendwie den Sinn des Threads - klärt mich bitte wer auf *auch mitreden will* ?
Es wurden 2 Bugs gefunden, gemeldet und gefixed. Und warum jetzt der Thread, wenn nicht die Kiddies zum "Hacken" animieren ?
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 15.05.2007, 19:06:40   #24 (permalink)
Erfahrener Benutzer

ID: 79818
Lose-Remote

Reg: 20.04.2006
Beiträge: 4.455
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Und was erhoffst Du Dir nun von diesem Posting außer geschäftsschädigung?
Wäre statt diesem Beitrag nicht besser mal ein "Danke" angebracht?

Champ2000 ist offline   Mit Zitat antworten
Alt 15.05.2007, 19:08:17   #25 (permalink)
وسيط المجتمع.
Benutzerbild von Bulette

Reg: 20.04.2006
Beiträge: 7.095
Standard

Zitat:
Zitat von Champ2000 Beitrag anzeigen
Wäre statt diesem Beitrag nicht besser mal ein "Danke" angebracht?
Raven hat den Bug bei Lukas gemeldt gehabt, Lukas hat den sofort gefixt.
Und ich glaube nicht, das Lukas sich dafür nicht bedankt hat
Bulette ist offline   Mit Zitat antworten
Alt 15.05.2007, 19:10:17   #26 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von Champ2000 Beitrag anzeigen
Wäre statt diesem Beitrag nicht besser mal ein "Danke" angebracht?
Das hatten wir per ICQ schon alles geklärt.
Deshalb fand ich den Beitrag ja absolut überflüssig.
 
klamm ist offline   Mit Zitat antworten
Alt 15.05.2007, 19:12:09   #27 (permalink)
SEO

ID: 165221
Lose-Remote
Abwesend

Querulant eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.649
Standard

Kann Champ nur bestätigen!

Ohne "Raven" und "bartman" würd es diese Fehler immernoch geben und gute Programmierer (oder auch Cracker genannt) hätten Zugriff auf eure Passwörter, private Daten ua. eure Lose...ich find es schon beunruhigend zu wissen das hier die Passwörter nichtmal verschlüsselt sind...
.
Querulant ist offline   Mit Zitat antworten
Alt 15.05.2007, 19:13:09   #28 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Hacker, überleg mal, wie wichtig diese Informationen sind. 238 Tausend Adressen und Passwörter (welche sinnigerweise im Klartext gespeichert werden ); direkt zwei Bugs auf einmal, die freie SELECTs erlauben.
Für mich liegt da die Vermutung nahe, dass es noch weitere Bugs dieser Klasse geben könnte. Ich finde, die User sollten diesbezüglich schon informiert werden, es geht hier schließlich um ihre Daten.
Und wenn ich jetzt mal daran denke, wie weit verbreitet Zentralpasswörter sind, was man mit den Bugs noch alles hätte anstellen können ... (Stichwort Lose-Transaktionen, klamm-Messenger-PNs, falls durch den User, den klamm.de nutzt, auch Zugriff auf Foren-DB besteht auch dort die PNs auslesen, etc. pp.)

Zitat:
Zitat von Mone
Und deshalb machst du es öffentlich?
Wie bartman schon sagte - Security by obscurity ist einfach keine Lösung.
Schau dir mal Bugtraq an. Dort werden täglich Bugs eingeliefert, auch zum Linux-Kernel, was man nunmal auch ausnutzen könnte, zum Teil auch, um root-Rechte zu erlangen. Wenn es allerdings wie in diesem Fall um persönliche Daten geht, dann ist das für mich erst recht ein wichtiger Grund, sowas auch öffentlich zu machen. Die User haben finde ich ein Recht darauf zu erfahren, dass ihre Daten potentiell hätten gestohlen werden können.

Ich akzeptiere andere Meinungen dazu, höre mir diese auch gerne an, solange es sachlich bleibt. Und zumindest Lukas als "Betroffener" bleibt hier ja auch sachlich soweit
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 15.05.2007, 19:18:46   #29 (permalink)
Erfahrener Benutzer
Benutzerbild von PeterLV

ID: 52879
Lose-Remote

PeterLV eine Nachricht über ICQ schicken
Reg: 24.04.2006
Beiträge: 2.815
Standard

nun hoert mal,

mit eurer arschkriecherei auf, mr. klamm braucht das wirklich nicht :-)

dass es in so einem monstrum, wie klamm.de, fehler in der programmierung gibt, ist doch ganz normal.
dass man die manchmal auch findet, doch auch, oder?

threadersteller, du machst mir den eindruck eines unberfriedigten fehlerfinders :-)

auch das ist normal"g

oeffentliche hinweise darauf, sind nur bei nichtbeachtung des programmierers berechtigt und dem ist wohl nicht so, oder?

gruss

peter
 
PeterLV ist offline   Mit Zitat antworten
Alt 15.05.2007, 19:22:57   #30 (permalink)
Eta Capricorni
Benutzerbild von scriper

ID: 57943
Lose-Remote

scriper eine Nachricht über ICQ schicken
Reg: 03.05.2006
Beiträge: 2.757
Standard

Darf man mal Fragen, wieso PWs unverschlüsselt gespeichert werden, wie hier behauptet wurde?

scriper ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Daten Sicherung/Sicherheit und Widerherstellung MidnightLord Software/Windows 1 09.12.2006 12:46:03
Sicherheit bei Klamm.de Kluex Verbesserungsvorschläge 14 05.10.2006 14:47:35


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:17:24 Uhr.