Losemenge.de - Mindestlosemenge, Loseumlauf, Losevernichtung, Kontostände von mehr als 40 Projekten!

[HighClixx]

Zitat:

Zitat von ice-breaker

wenn bei dem wenig Code, der dafür notwendig ist, ne Sicherheitslücke drinne ist, dann ist schon ein Epic-Fail

Natürlich. Und du codest alles perfekt.

[Bububoomt]

Muß ja ncihtmal im Code ein Fehler sein, sondern einfach eine Funktion die man benutzt, die eine Sicherheitslücke hat.
Banales Beispiel.
man benutzt int.parse um eine übergeben ID zu prüfen. Wenn nun aber int.parse einen Fehler hat....

Es kommt immer wieder vor (auch wenn Selten), das die einfachsten Funktionen einen Bug haben.

[jpwfour]

Zitat:

Zitat von Bububoomt

Muß ja ncihtmal im Code ein Fehler sein, sondern einfach eine Funktion die man benutzt, die eine Sicherheitslücke hat.
Banales Beispiel.
man benutzt int.parse um eine übergeben ID zu prüfen. Wenn nun aber int.parse einen Fehler hat....

Es kommt immer wieder vor (auch wenn Selten), das die einfachsten Funktionen einen Bug haben.

Und deswegen stellt man den Code nicht zur Verfügung? Hm, schon komisch, ich hätte wetten können,d ass es mittlerweile mehr SourceCode "Open" gibt als Closed, aber egal

Mir ist klar, dass man theoretisch jedem Vollzugriff geben müsste etc.
Es geht aber auch nicht um 100% Transparenz, dann würde das Projekt, wie schon richtig gesagt, nicht mehr laufen.

Aber um "mehr" Transparenz. Dazu könnte gehören, dass man sich in etwa anschauen kann, was der Webbi das macht, und vorallem, dass das Projekt von jemand anderem weitergeführt werden könnte, sollte der einzige Betreiber mal keine Lust mehr haben/verschollen sein usw. (Aussage ist ja: "Für die Community).

In dem Skript für EF-Betreiber finden sich kodierte Daten, zwar ist es kaum ein Problem, die in "menschenlesbaren Code" zu übersetzen, aber als Webbi würde ich mir so ein Skript, wo ich nicht ganz genau sehen kann, was es macht, niemals hochladen.

[ice-breaker]

Zitat:

Zitat von HighClixx

Natürlich. Und du codest alles perfekt.

ich glaube du verstehst meine Aussage nicht
Es gibt in dem Losemenge-Script maximal 5 Punkte an denen das Script mit Daten von außerhalb arbeitet, wenn in den 5 Mini-Teilen schon Fehler stecken würden, dann wäre das auf eine große Anwendung betrachtet der löcherichste Schweizer Käse den du je gesehen hast.

Zitat:

Zitat von Bububoomt

Muß ja ncihtmal im Code ein Fehler sein, sondern einfach eine Funktion die man benutzt, die eine Sicherheitslücke hat.
Banales Beispiel.

glücklicherweise kommt das nur sehr selten vor, und Sicherheitslücken die dazu da sind "malicious input" zu bearbeiten noch viel viel viel seltener.

Zitat:

Zitat von jpwfour

Und deswegen stellt man den Code nicht zur Verfügung? Hm, schon komisch, ich hätte wetten können,d ass es mittlerweile mehr SourceCode "Open" gibt als Closed, aber egal

Security through obscurity in seiner reinsten Form.
Manche halten dies eben für Sicherheit

Zitat:

Zitat von jpwfour

In dem Skript für EF-Betreiber finden sich kodierte Daten, zwar ist es kaum ein Problem, die in "menschenlesbaren Code" zu übersetzen, aber als Webbi würde ich mir so ein Skript, wo ich nicht ganz genau sehen kann, was es macht, niemals hochladen.

Man kann in dem Script doch ablesen was es tut, denn das kann man nicht verstecken.

[Bububoomt]

Da brauchst nicht wetten, das wissen wir alle und wir wissen alle wie oft auch diese Ziel von Bösewichten sind. Ich muß da auch ncihts aufzähln, überall wo es etwas Interessantes gibt oder was "zu holen", das ist nun mal ein Ziel...

Was er macht, und wer etwas Ahnung vom Proggen kann es nach machen.

Wenn er es veröffenlticht haben wir nachher 20 solcher Projekte, was scheiße wäre, weil sich nachher dann alle irgendwo anders anmelden oder gar nicht.

Da sollte man halt über nen ganz anderen Weg nachdenken, wie man vielleicht die Daten verifizieren könnte....

Das codierte ist sind die Dateien, die angelegt werden. Könnte man sicherlich noch anders machen...

[chrissel]

Zitat:

Zitat von jpwfour

In dem Skript für EF-Betreiber finden sich kodierte Daten, zwar ist es kaum ein Problem, die in "menschenlesbaren Code" zu übersetzen, aber als Webbi würde ich mir so ein Skript, wo ich nicht ganz genau sehen kann, was es macht, niemals hochladen.

Zitat:

Zitat von ice-breaker

Man kann in dem Script doch ablesen was es tut, denn das kann man nicht verstecken.

Zitat:

Zitat von Bububoomt

Das codierte ist sind die Dateien, die angelegt werden. Könnte man sicherlich noch anders machen...

Ja, da es nun wirklich ein kleines Installationsscript ist (bei dem ich mir ehrlich gesagt auch nicht die meiste Mühe gegeben habe: Alleine ein Design fehlt da ja z.B.), sind in der install.php die Daten für alle Dateien die benötigt werden drin. Base64 kodiert, damit ich die vernünftig in der Datei abspeichern kann.
Wenn das Script installiert wird liegen die kodierten Daten als nicht kodierte Dateien vor und jeder kann sich anschauen, was dort gemacht wird

Jeder der meint den Code überprüfen zu können sollte merken, dass die kodierten Daten nach der Installation unkodiert vorliegen.. von daher habe ich mir nicht große Gedanken dabei gemacht, dass es stören könnte, dass dort etwas kodiert vorliegt.

[jpwfour]

Zitat:

Zitat von chrissel

.... sind in der install.php die Daten für alle Dateien die benötigt werden drin. Base64 kodiert, damit ich die vernünftig in der Datei abspeichern kann.
Wenn das Script installiert wird liegen die kodierten Daten als nicht kodierte Dateien vor und jeder kann sich anschauen, was dort gemacht wird

Jeder der meint den Code überprüfen zu können sollte merken, dass die kodierten Daten nach der Installation unkodiert vorliegen.. von daher habe ich mir nicht große Gedanken dabei gemacht, dass es stören könnte, dass dort etwas kodiert vorliegt.

Ich weis das und würde sowas eh erst mal in ner sicheren Umgebung ausprobieren.

Und wenn die Dateien entpackt sind (und einmal includ'ed wurden) könnte es schon zu spät sein

Mir geht es um den Otto-Normal-Webbi, der meist eh kaum Ahnung von X oder Y hat. Der vetraut meiner Meinung nach jedem Scriptshop und installiert sich übelstes Zeug, aber er hat ja für gezahlt, ausserdem "will er Addon Z jetzt sofort haben!".

Aber irgensoein Skript, von irgendwem, was irgendwas macht, und zwar mit "seinem EF und seinen Losen?"

Dazu wird man diese Webbis nicht bekommen.

Vermutlich auch nicht, indem man die Dateien unkodiert ablegt.

Evtl. müsste man auf die Seitenbetreiber "offensiv" zugehen, sie auf losemenge.de ansprechen etc., würde ja schon reichen, wenn 2-3 "große" Seiten "offiziell" mitmachen. Dann ziehen einige der Seiten(betreiber), die diesen Seiten sonst auch alles nachzumachen versuchen, evtl. nach.

[jpwfour]

Heut gönn ich mir mal nen Doppelten (weil dieser Post vollkommen unabhängig vom vorgehenden ist!)

In der losemenge.php wärs denke ich praktisch im check (Zeile 3) noch auf die Beschreibbarkeit der temp zu prüfen: is_writable().

Wenn der "Installateur" die Anleitung zu genau nimmt:

Zitat:

setze die Rechte von PHP für dieses Verzeichnis ... zurück

kann das Skript u.U. nachher die Datei temp nicht beschreiben.

Das wär dann ziemlich unschön, weil die Lose von EF -> Klamm-Account, aber nicht mehr zurück gehen, da die Menge nicht abgespeichert würde.

[chrissel]

Vielen Dank jpwfour.

Habe ich nun sofort geändert und hochgeladen


Zum Thema Seitenbetreiber direkt ansprechen:
Ich habe hier ja schon einmal geschrieben, dass ich das eventuell mache. Allerdings habe ich nun wirklich überlegt, ob dass nicht aufdringlicher Spam ist und somit das Projekt eventuell unbeliebt macht?
Was meint ihr denn so?
Oder gibt es hier eventuell schon ein paar Seitenbetreiber die den richtigen Startschuss für die EF's machen wollen?

[Die-Fackel]

Hier lesen ja einige Seitenbetreiber mit.

Wäre schön wenn die mal Ihre Bedenken äußern würden.

[hankfromhelvete]

Zitat:

Zitat von chrissel

Was meint ihr denn so?

Unabhängig von dem Projekt würde ich es als Spam ansehen. Ich mag solche Bettelmails überhaupt nicht, wo es dann heißt: "Guck mal meine Seite an, könnte dich interessieren." Wenns von einem User kommt den ich kenne wäre das ja noch okay.

Wie sagen die SEOs immer - Man muss vom Kunden gefunden werden

Zitat:

Zitat von chrissel

Oder gibt es hier eventuell schon ein paar Seitenbetreiber die den richtigen Startschuss für die EF's machen wollen?

Also ich werde mit meinem kleinen Loseprojekt und meiner Wechselstube wahrscheinlich auch noch mit machen. Da kommt zwar nicht sooo viel zusammen, aber jedes Los zählt

[Bububoomt]

Bin nun auch mit einem meiner Efs dabei, die anderen werden später dann noch folgen. Hoffe das klappt heute nacht.

[p666p]

Ich würde mich dem evtl. gern anschließen, Vorraussetzung wäre für mich ne kurze Aufklärung was genau geschieht mit meinen Daten.
Hab mich ja bei Ebuuk auch listen lassen.
Was ich nicht möchte: das einsehbar ist, WER wieviel Lose Wo hat, also auch nicht der Betreiber, das würde mich doch schon abschrecken.

[chrissel]

Zitat:

Zitat von Bububoomt

Bin nun auch mit einem meiner Efs dabei, die anderen werden später dann noch folgen. Hoffe das klappt heute nacht.

Super!
Normalerweise solltest du in deinem klamm oder EF-Account nun gegen 03:02 Uhr 2 Überweisungen sehen.
Falls ja hat es geklappt, falls nicht bitte kurze PN an mich. Dann checke ich alles durch.. sollte aber geklappt haben, also bei meinem EF läuft alles wie gewollt

Zitat:

Zitat von p666p

Ich würde mich dem evtl. gern anschließen, Vorraussetzung wäre für mich ne kurze Aufklärung was genau geschieht mit meinen Daten.
Hab mich ja bei Ebuuk auch listen lassen.
Was ich nicht möchte: das einsehbar ist, WER wieviel Lose Wo hat, also auch nicht der Betreiber, das würde mich doch schon abschrecken.

Schaue mal bitte in die FAQ, da steht genau, welche Daten gespeichert werden und sonst auch weitere sicherlich aufkommenden Fragen sollten dort beantwortet werden.

[Bububoomt]

Hatt nicht geklappt, habe nun getestet und irgendwieso stimmte mein Lose PW nicht, dabei hatte ichs extra dafür geändert und per Copypaste bei Klamm eingefügt und dann im Script.

Naja nun scheints zu klappen und ist beim nächsten lauf dabei.