Alt 23.06.2011, 01:53:31   #151 (permalink)
HighClixx
abgemeldet

Reg: 11.11.2009
Beiträge: 318
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
wenn bei dem wenig Code, der dafür notwendig ist, ne Sicherheitslücke drinne ist, dann ist schon ein Epic-Fail
Natürlich. Und du codest alles perfekt.
 
HighClixx ist offline   Mit Zitat antworten
Alt 23.06.2011, 08:44:41   #152 (permalink)
Bububoomt PREMIUM-User
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose senden
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.677
Standard

Muß ja ncihtmal im Code ein Fehler sein, sondern einfach eine Funktion die man benutzt, die eine Sicherheitslücke hat.
Banales Beispiel.
man benutzt int.parse um eine übergeben ID zu prüfen. Wenn nun aber int.parse einen Fehler hat....

Es kommt immer wieder vor (auch wenn Selten), das die einfachsten Funktionen einen Bug haben.
Bububoomt ist offline   Mit Zitat antworten
Alt 23.06.2011, 11:57:48   #153 (permalink)
jpwfour
NoOb
Benutzerbild von jpwfour

ID: 303735
Lose senden

Reg: 09.12.2007
Beiträge: 423
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Muß ja ncihtmal im Code ein Fehler sein, sondern einfach eine Funktion die man benutzt, die eine Sicherheitslücke hat.
Banales Beispiel.
man benutzt int.parse um eine übergeben ID zu prüfen. Wenn nun aber int.parse einen Fehler hat....

Es kommt immer wieder vor (auch wenn Selten), das die einfachsten Funktionen einen Bug haben.
Und deswegen stellt man den Code nicht zur Verfügung? Hm, schon komisch, ich hätte wetten können,d ass es mittlerweile mehr SourceCode "Open" gibt als Closed, aber egal

Mir ist klar, dass man theoretisch jedem Vollzugriff geben müsste etc.
Es geht aber auch nicht um 100% Transparenz, dann würde das Projekt, wie schon richtig gesagt, nicht mehr laufen.

Aber um "mehr" Transparenz. Dazu könnte gehören, dass man sich in etwa anschauen kann, was der Webbi das macht, und vorallem, dass das Projekt von jemand anderem weitergeführt werden könnte, sollte der einzige Betreiber mal keine Lust mehr haben/verschollen sein usw. (Aussage ist ja: "Für die Community).

In dem Skript für EF-Betreiber finden sich kodierte Daten, zwar ist es kaum ein Problem, die in "menschenlesbaren Code" zu übersetzen, aber als Webbi würde ich mir so ein Skript, wo ich nicht ganz genau sehen kann, was es macht, niemals hochladen.
jpwfour ist offline   Mit Zitat antworten
Alt 23.06.2011, 12:12:08   #154 (permalink)
ice-breaker
return void
Benutzerbild von ice-breaker

ID: 93995
Lose senden

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von HighClixx Beitrag anzeigen
Natürlich. Und du codest alles perfekt.
ich glaube du verstehst meine Aussage nicht
Es gibt in dem Losemenge-Script maximal 5 Punkte an denen das Script mit Daten von außerhalb arbeitet, wenn in den 5 Mini-Teilen schon Fehler stecken würden, dann wäre das auf eine große Anwendung betrachtet der löcherichste Schweizer Käse den du je gesehen hast.

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Muß ja ncihtmal im Code ein Fehler sein, sondern einfach eine Funktion die man benutzt, die eine Sicherheitslücke hat.
Banales Beispiel.
glücklicherweise kommt das nur sehr selten vor, und Sicherheitslücken die dazu da sind "malicious input" zu bearbeiten noch viel viel viel seltener.

Zitat:
Zitat von jpwfour Beitrag anzeigen
Und deswegen stellt man den Code nicht zur Verfügung? Hm, schon komisch, ich hätte wetten können,d ass es mittlerweile mehr SourceCode "Open" gibt als Closed, aber egal
Security through obscurity in seiner reinsten Form.
Manche halten dies eben für Sicherheit

Zitat:
Zitat von jpwfour Beitrag anzeigen
In dem Skript für EF-Betreiber finden sich kodierte Daten, zwar ist es kaum ein Problem, die in "menschenlesbaren Code" zu übersetzen, aber als Webbi würde ich mir so ein Skript, wo ich nicht ganz genau sehen kann, was es macht, niemals hochladen.

Man kann in dem Script doch ablesen was es tut, denn das kann man nicht verstecken.
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 23.06.2011, 12:19:11   #155 (permalink)
Bububoomt PREMIUM-User
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose senden
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.677
Standard

Da brauchst nicht wetten, das wissen wir alle und wir wissen alle wie oft auch diese Ziel von Bösewichten sind. Ich muß da auch ncihts aufzähln, überall wo es etwas Interessantes gibt oder was "zu holen", das ist nun mal ein Ziel...

Was er macht, und wer etwas Ahnung vom Proggen kann es nach machen.

Wenn er es veröffenlticht haben wir nachher 20 solcher Projekte, was scheiße wäre, weil sich nachher dann alle irgendwo anders anmelden oder gar nicht.

Da sollte man halt über nen ganz anderen Weg nachdenken, wie man vielleicht die Daten verifizieren könnte....

Das codierte ist sind die Dateien, die angelegt werden. Könnte man sicherlich noch anders machen...
Bububoomt ist offline   Mit Zitat antworten
Alt 23.06.2011, 12:29:52   #156 (permalink)
chrissel
Woohooo!
Benutzerbild von chrissel

ID: 211634
Lose senden

chrissel eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.495
Standard

Zitat:
Zitat von jpwfour Beitrag anzeigen
In dem Skript für EF-Betreiber finden sich kodierte Daten, zwar ist es kaum ein Problem, die in "menschenlesbaren Code" zu übersetzen, aber als Webbi würde ich mir so ein Skript, wo ich nicht ganz genau sehen kann, was es macht, niemals hochladen.
Zitat:
Zitat von ice-breaker Beitrag anzeigen

Man kann in dem Script doch ablesen was es tut, denn das kann man nicht verstecken.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Das codierte ist sind die Dateien, die angelegt werden. Könnte man sicherlich noch anders machen...
Ja, da es nun wirklich ein kleines Installationsscript ist (bei dem ich mir ehrlich gesagt auch nicht die meiste Mühe gegeben habe: Alleine ein Design fehlt da ja z.B.), sind in der install.php die Daten für alle Dateien die benötigt werden drin. Base64 kodiert, damit ich die vernünftig in der Datei abspeichern kann.
Wenn das Script installiert wird liegen die kodierten Daten als nicht kodierte Dateien vor und jeder kann sich anschauen, was dort gemacht wird

Jeder der meint den Code überprüfen zu können sollte merken, dass die kodierten Daten nach der Installation unkodiert vorliegen.. von daher habe ich mir nicht große Gedanken dabei gemacht, dass es stören könnte, dass dort etwas kodiert vorliegt.
chrissel ist offline Threadstarter   Mit Zitat antworten
Alt 24.06.2011, 18:14:08   #157 (permalink)
jpwfour
NoOb
Benutzerbild von jpwfour

ID: 303735
Lose senden

Reg: 09.12.2007
Beiträge: 423
Standard

Zitat:
Zitat von chrissel Beitrag anzeigen
.... sind in der install.php die Daten für alle Dateien die benötigt werden drin. Base64 kodiert, damit ich die vernünftig in der Datei abspeichern kann.
Wenn das Script installiert wird liegen die kodierten Daten als nicht kodierte Dateien vor und jeder kann sich anschauen, was dort gemacht wird

Jeder der meint den Code überprüfen zu können sollte merken, dass die kodierten Daten nach der Installation unkodiert vorliegen.. von daher habe ich mir nicht große Gedanken dabei gemacht, dass es stören könnte, dass dort etwas kodiert vorliegt.
Ich weis das und würde sowas eh erst mal in ner sicheren Umgebung ausprobieren.

Und wenn die Dateien entpackt sind (und einmal includ'ed wurden) könnte es schon zu spät sein

Mir geht es um den Otto-Normal-Webbi, der meist eh kaum Ahnung von X oder Y hat. Der vetraut meiner Meinung nach jedem Scriptshop und installiert sich übelstes Zeug, aber er hat ja für gezahlt, ausserdem "will er Addon Z jetzt sofort haben!".

Aber irgensoein Skript, von irgendwem, was irgendwas macht, und zwar mit "seinem EF und seinen Losen?"

Dazu wird man diese Webbis nicht bekommen.

Vermutlich auch nicht, indem man die Dateien unkodiert ablegt.

Evtl. müsste man auf die Seitenbetreiber "offensiv" zugehen, sie auf losemenge.de ansprechen etc., würde ja schon reichen, wenn 2-3 "große" Seiten "offiziell" mitmachen. Dann ziehen einige der Seiten(betreiber), die diesen Seiten sonst auch alles nachzumachen versuchen, evtl. nach.
jpwfour ist offline   Mit Zitat antworten
Alt 24.06.2011, 20:24:39   #158 (permalink)
jpwfour
NoOb
Benutzerbild von jpwfour

ID: 303735
Lose senden

Reg: 09.12.2007
Beiträge: 423
Standard

Heut gönn ich mir mal nen Doppelten (weil dieser Post vollkommen unabhängig vom vorgehenden ist!)

In der losemenge.php wärs denke ich praktisch im check (Zeile 3) noch auf die Beschreibbarkeit der temp zu prüfen: is_writable().

Wenn der "Installateur" die Anleitung zu genau nimmt:
Zitat:
setze die Rechte von PHP für dieses Verzeichnis ... zurück
kann das Skript u.U. nachher die Datei temp nicht beschreiben.

Das wär dann ziemlich unschön, weil die Lose von EF -> Klamm-Account, aber nicht mehr zurück gehen, da die Menge nicht abgespeichert würde.
jpwfour ist offline   Mit Zitat antworten
Alt 24.06.2011, 22:07:46   #159 (permalink)
chrissel
Woohooo!
Benutzerbild von chrissel

ID: 211634
Lose senden

chrissel eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.495
Standard

Vielen Dank jpwfour.

Habe ich nun sofort geändert und hochgeladen


Zum Thema Seitenbetreiber direkt ansprechen:
Ich habe hier ja schon einmal geschrieben, dass ich das eventuell mache. Allerdings habe ich nun wirklich überlegt, ob dass nicht aufdringlicher Spam ist und somit das Projekt eventuell unbeliebt macht?
Was meint ihr denn so?
Oder gibt es hier eventuell schon ein paar Seitenbetreiber die den richtigen Startschuss für die EF's machen wollen?
chrissel ist offline Threadstarter   Mit Zitat antworten
Alt 24.06.2011, 22:15:00   #160 (permalink)
Die-Fackel
Erfahrener Benutzer
Benutzerbild von Die-Fackel

ID: 42693
Lose senden

Reg: 23.04.2006
Beiträge: 3.790
Standard

Hier lesen ja einige Seitenbetreiber mit.

Wäre schön wenn die mal Ihre Bedenken äußern würden.
 
Die-Fackel ist offline   Mit Zitat antworten
Alt 24.06.2011, 22:42:21   #161 (permalink)
hankfromhelvete
RaR 2012
Benutzerbild von hankfromhelvete

ID: 248446
Lose senden

Reg: 16.01.2007
Beiträge: 4.980
Standard

Zitat:
Zitat von chrissel Beitrag anzeigen
Was meint ihr denn so?
Unabhängig von dem Projekt würde ich es als Spam ansehen. Ich mag solche Bettelmails überhaupt nicht, wo es dann heißt: "Guck mal meine Seite an, könnte dich interessieren." Wenns von einem User kommt den ich kenne wäre das ja noch okay.

Wie sagen die SEOs immer - Man muss vom Kunden gefunden werden

Zitat:
Zitat von chrissel Beitrag anzeigen
Oder gibt es hier eventuell schon ein paar Seitenbetreiber die den richtigen Startschuss für die EF's machen wollen?
Also ich werde mit meinem kleinen Loseprojekt und meiner Wechselstube wahrscheinlich auch noch mit machen. Da kommt zwar nicht sooo viel zusammen, aber jedes Los zählt
hankfromhelvete ist offline   Mit Zitat antworten
Alt 24.06.2011, 22:49:32   #162 (permalink)
Bububoomt PREMIUM-User
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose senden
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.677
Standard

Bin nun auch mit einem meiner Efs dabei, die anderen werden später dann noch folgen. Hoffe das klappt heute nacht.
Bububoomt ist offline   Mit Zitat antworten
Alt 24.06.2011, 23:59:58   #163 (permalink)
p666p
im Urlaub
Benutzerbild von p666p

ID: 277514
Lose senden

Reg: 01.04.2007
Beiträge: 559
Standard

Ich würde mich dem evtl. gern anschließen, Vorraussetzung wäre für mich ne kurze Aufklärung was genau geschieht mit meinen Daten.
Hab mich ja bei Ebuuk auch listen lassen.
Was ich nicht möchte: das einsehbar ist, WER wieviel Lose Wo hat, also auch nicht der Betreiber, das würde mich doch schon abschrecken.
p666p ist offline   Mit Zitat antworten
Alt 25.06.2011, 14:04:27   #164 (permalink)
chrissel
Woohooo!
Benutzerbild von chrissel

ID: 211634
Lose senden

chrissel eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.495
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Bin nun auch mit einem meiner Efs dabei, die anderen werden später dann noch folgen. Hoffe das klappt heute nacht.
Super!
Normalerweise solltest du in deinem klamm oder EF-Account nun gegen 03:02 Uhr 2 Überweisungen sehen.
Falls ja hat es geklappt, falls nicht bitte kurze PN an mich. Dann checke ich alles durch.. sollte aber geklappt haben, also bei meinem EF läuft alles wie gewollt

Zitat:
Zitat von p666p Beitrag anzeigen
Ich würde mich dem evtl. gern anschließen, Vorraussetzung wäre für mich ne kurze Aufklärung was genau geschieht mit meinen Daten.
Hab mich ja bei Ebuuk auch listen lassen.
Was ich nicht möchte: das einsehbar ist, WER wieviel Lose Wo hat, also auch nicht der Betreiber, das würde mich doch schon abschrecken.
Schaue mal bitte in die FAQ, da steht genau, welche Daten gespeichert werden und sonst auch weitere sicherlich aufkommenden Fragen sollten dort beantwortet werden.
chrissel ist offline Threadstarter   Mit Zitat antworten
Alt 25.06.2011, 14:57:19   #165 (permalink)
Bububoomt PREMIUM-User
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose senden
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.677
Standard

Hatt nicht geklappt, habe nun getestet und irgendwieso stimmte mein Lose PW nicht, dabei hatte ichs extra dafür geändert und per Copypaste bei Klamm eingefügt und dann im Script.

Naja nun scheints zu klappen und ist beim nächsten lauf dabei.
Bububoomt ist offline   Mit Zitat antworten
Antwort

Stichworte
klammlose, klammlosemenge, losemenge, losemenge.de

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[JavaScript] Anfänger braucht Hilfe Exilas-mer Programmierung 8 07.06.2010 16:37:13
[S] Hilfe für diverse VMS-Addons - bis 100k für deine Hilfe DasGuru Lose4Scripts 15 10.09.2008 20:59:39
Braucht ihr Hilfe? Schwatten Lose4Action 4 22.07.2008 16:12:28
wintermute braucht Hilfe wintermute Kindergarten & sonstige Eiergeschäfte 57 22.02.2007 08:22:39


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:49:13 Uhr.