Bei der Durchsicht des VMS-Codes vor zwei Monaten ist mir erstmalig eine Sicherheitslücke (auch mit SecVMS!) aufgefallen, die ich zu dieser Zeit auch in einigen laufenden Systemen befand. Danach dachte ich eigentlich, sie sei nirgends mehr zu finden - bis ich heute wieder eine VMS-Seite mit diesem Fehler gefunden habe.
Daher möchte ich auf diesem Weg alle Webmaster einer VMS-Seite warnen: Der Fehler ist zwar nur in der Minderheit aller VMS-Seiten vorhanden, erlaubt es aber, auf beliebige Daten in der Datenbank zuzugreifen - darunter z. B. auch die ExportForce-Daten!
Damit es nicht den Anschein hat, ich wollte euch Webmaster mit diesem Fehler "erpressen" oder dergleichen, biete ich keine Fehlerbehebung gegen Lose an - ich kann hier aber auch keine Behebungsinfos angeben, da sonst andere auf den Fehler aufmerksam werden könnten um ihn betrügerisch zu nützen!
Daher hier mein Vorschlag: Schreibt mir eine PN mit eurem Seiten-URI; so kann ich prüfen, dass ihr wirklich Betreiber seid (über euer Impressum und die Klamm-ID), und euch dann Zugriff auf die Infos geben.
Da ich ein arbeitender Mensch bin, kann es sein, dass ich nur abends on kommen kann - bitte schreibt daher *nur eine* PN und dann nicht noch 5 drauf, dass ich bitte schnell antworten soll!
PS: Wenn dieser Thread hier unpassend ist, tut es mir Leid! Aber mir ist kein anderer Platz dafür eingefallen. Sonst bitte gerne verschieben. :$
Daher möchte ich auf diesem Weg alle Webmaster einer VMS-Seite warnen: Der Fehler ist zwar nur in der Minderheit aller VMS-Seiten vorhanden, erlaubt es aber, auf beliebige Daten in der Datenbank zuzugreifen - darunter z. B. auch die ExportForce-Daten!
Damit es nicht den Anschein hat, ich wollte euch Webmaster mit diesem Fehler "erpressen" oder dergleichen, biete ich keine Fehlerbehebung gegen Lose an - ich kann hier aber auch keine Behebungsinfos angeben, da sonst andere auf den Fehler aufmerksam werden könnten um ihn betrügerisch zu nützen!
Daher hier mein Vorschlag: Schreibt mir eine PN mit eurem Seiten-URI; so kann ich prüfen, dass ihr wirklich Betreiber seid (über euer Impressum und die Klamm-ID), und euch dann Zugriff auf die Infos geben.
Da ich ein arbeitender Mensch bin, kann es sein, dass ich nur abends on kommen kann - bitte schreibt daher *nur eine* PN und dann nicht noch 5 drauf, dass ich bitte schnell antworten soll!
PS: Wenn dieser Thread hier unpassend ist, tut es mir Leid! Aber mir ist kein anderer Platz dafür eingefallen. Sonst bitte gerne verschieben. :$
.
