Wo ist der Loseproof-Bugthread hin?

chuone schrieb:
richtig, es ist sicherer, ABER in sehr vielen fällen einfach unsinnig, wie gesagt ich will nur das [ Zeichen verbieten als Beispiel, dann prüfe ich nur ob das [ Zeichen drin ist und nicht dass nur alle anderen drin sind wie es ice machen würde.
Zum Vergrößern anklicken....

so jetzt übersetze ich mal meinen gemütszustand in geschribene sprache:
HAST DU SIE NOCH ALLE :?: :?: :?:
Du fängst mit blacklist zeug an wobei ich noch keinen Wort drüber verloren habe, sondern mich über deinen miserabelen bugfix lustig gemacht habe.
Dann kommst du mit einem Beispiel was vollkommen korrekt ist, auf das [ zu prüfen und unerstellst mir ich würde anderes behaupten. SAGMAL WO SNID WIR DENN?
Es ging um dein include()-Statement und nicht um etwaige [-Prüfungen, und da ist eine Blackliste vollkommen fehl am Platz.
Wenn du nicht verstehst, was ich sage, dann sei einfach leise und seh ein, dass du scheise gebaut hast
 
ice-breaker schrieb:
schade, dass der herr, nicht versteht was eine whitelist ist, nämlich eine auflistung von seiten die NUR erlaubt sind, eine blackliste dagegen filtert dinge aus die nicht erlaut sind. jetzt ist die frage, was ist effektiver?
:arrow: eine whitelist, denn eine Blackliste lässt sich meist doch noch irgendwie umgehen
Der einzige der nicht zuende denkt bist du, denn dein Argument ist quatsch, prüfen ob nen string 1-10 zeichen hat statt prüfen ob leer, omfg


bin ich gerne dabei, sag bescheid, wenn du mal nach frankfurt kommst, dann nehme ich die bahn und wir treffen uns da net in nem kaffee ;)
Zum Vergrößern anklicken....
[/QUOTE]


ok einer muss noch ....

whitelist: man definiert die sachen die erlaubt nicht, unterbindet alles andere
blacklist: man definiert die sachen die nicht erlaubt sind, unterbindet alles andere

das ist black und white und erzähl mir doch nichts von irgendwelchen seiten, du sagst bugfix und nicht irgendwas mit seiten..

wir auch immer, whitelist geht nicht, warum weist du natürlich mal wieder nicht weil du mal wieder zu wenig ahnung hast von dem was du von dir gibst...
es gibt zich erweiterungen z.b. games, wenn ich jetzt eine whiteliste erstelle kann man die alle nicht mehr aufrufen

edit:
ich will gar nicht sagen dass die lösung wie der useraccount funktioniert so bombe ist, das weiß ich selbst, aber ich brauch mir doch nix von euch anhören lassen über mein jahrealtes script wenn ich schon längst auf nem ganz anderem level bin und seiten kennengelernt habe von denen ihr nichtmal wisst dass es sie gibt , ice , bani und raven

seit froh dass ich nen bugfix gemacht habe und zwar direkt als höchste priotität ... zu sagen er seie schlecht bringt uns auch nicht weiter..
ausserdem wie war das mit den schleifen?? schlechter code der funktioniert ist doch besser als guter code der schneller funktioniert, richtig ice?
 
Bow before me, I made the impossible possible! :biggrin:

whitelist.php
Code: 
<?php
$whitelist = array(
'index',
'lose_auszahlen',
/* eigene erweiterungen jetzt einfuegen */
'shoutbox',
'coupon',
);
?>

index.php
Code: 
...
require_once('whitelist.php');

if (!in_array($loadfile, $whitelist)) { ... }
...
 
Ach, ist das echt so unmöglich?
PHP: 
$whitelist = array('index', 'site1', 'site2');
if(!in_array($request, $whitelist))
  $request = 'error';
Deine Erweiterungen könnten nun ein PHP-File erweitern, oder halt mehrere Dateien einbinden, die jeweils die eigene Whitelist übergeben:
PHP: 
$whitelist[] = 'abc';
$whitelist[] = 'def';
Simples Konzept, große Wirkung :roll:

Hmpf, Bart, musst du immer so schnell sein? :D
 
chuone schrieb:
seit froh dass ich nen bugfix gemacht habe und zwar direkt als höchste priotität ... zu sagen er seie schlecht bringt uns auch nicht weiter..
ausserdem wie war das mit den schleifen?? schlechter code der funktioniert ist doch besser als guter code der schneller funktioniert, richtig ice?
Zum Vergrößern anklicken....

willst du deinen bugfix als gut bezeichnen?
den könnte man sicherlich immernoch ausnutzen, aber neija, lassen ma es gut sein, du bist der größte und machst alles richtig, dein code ist jahre alt und deshalb dürfen da kritische schwachstellen drinne sein, die jeder kennt, der php lernt. mal abwarten wie sicher dein neues script wird *hrhr*

Edit: man kann auch white-lists dynamisch über ne db-regeln ;) und schon gehen auch wieder alle spiele, aber neija mit dir zu diskutieren ist sinnlos
 
chuone schrieb:
whitelist: man definiert die sachen die erlaubt nicht, unterbindet alles andere
blacklist: man definiert die sachen die nicht erlaubt sind, unterbindet alles andere
Zum Vergrößern anklicken....

Öhm....das ist falsch.

blacklist: man definiert die Sachen die nicht erlaubt sind, erlaubt alles andere! :roll:

Des weiteren finde ich es kindisch, sich mit jemandem über seine Pseudofähigkeiten zu streiten, der nur darauf aus ist sich zu profilieren.
 
ice-breaker schrieb:
man kann auch white-lists dynamisch über ne db-regeln ;) und schon gehen auch wieder alle spiele, aber neija mit dir zu diskutieren ist sinnlos
Zum Vergrößern anklicken....
Auch eine Möglichkeit. Die wollte ich jetzt aber nicht angeben, weil Meister Bugfix dann bestimmt wieder über die Geschwindigkeit der Datenbank gemeckert hätte ... :roll:
 
ice-breaker schrieb:
willst du deinen bugfix als gut bezeichnen?
den könnte man sicherlich immernoch ausnutzen, aber neija, lassen ma es gut sein, du bist der größte und machst alles richtig, dein code ist jahre alt und deshalb dürfen da kritische schwachstellen drinne sein, die jeder kennt, der php lernt. mal abwarten wie sicher dein neues script wird *hrhr*

Edit: man kann auch white-lists dynamisch über ne db-regeln ;) und schon gehen auch wieder alle spiele, aber neija mit dir zu diskutieren ist sinnlos
Zum Vergrößern anklicken....

dann probier es doch einfach ... du kannst nur noch nummern und buchstaben ausm abc benutzen, die schwachstelle

white list ist definitiv eine lösung, aber eine "sehr" schlechte, ich sag nicht dass meine besser ist, aber es gibt viel sicherer methoden, die ich benutze - aber nicht in meinem sehr alten script.

"sehr" weil relativ

und das ganze mittels db dynamisch machen ist wohl ein witz... naja macht mal .. php is ja auch nicht da um dynamik zu verleihen...

scriper schrieb:
Öhm....das ist falsch.

blacklist: man definiert die Sachen die nicht erlaubt sind, erlaubt alles andere! :roll:

Des weiteren finde ich es kindisch, sich mit jemandem über seine Pseudofähigkeiten zu streiten, der nur darauf aus ist sich zu profilieren.
Zum Vergrößern anklicken....

is richtig, hab ich mich verschrieben,
ich find einfach lächerlich mir von diesen 3 leuten immer wieder was zu hören.
 
chuone schrieb:
[...]
edit:
ich will gar nicht sagen dass die lösung wie der useraccount funktioniert so bombe ist, das weiß ich selbst, aber ich brauch mir doch nix von euch anhören lassen über mein jahrealtes script wenn ich schon längst auf nem ganz anderem level bin und seiten kennengelernt habe von denen ihr nichtmal wisst dass es sie gibt , ice , bani und raven[...]
Zum Vergrößern anklicken....

Kannst du mir die Seiten mal zuschicken? Vielleicht kann ich dann in Zukunft auch professioneller arbeiten.

Gruß

Ja, er ist und bleibt mein großes Vorbild - der Programmierer schlechthin.
 
chuone schrieb:
white list ist definitiv eine lösung, aber eine "sehr" schlechte, ich sag nicht dass meine besser ist, aber es gibt viel sicherer methoden.
Zum Vergrößern anklicken....
Stop mal :roll:
Es gibt eine sicherere Methode, als wenn du nur die Anfragen zulässt, die du zuvor selber definiert hast? :mrgreen:

Revolutionär! Gigantisch! Unglaublich!
(muahahaaa)
 
chuone schrieb:
dann probier es doch einfach ... du kannst nur noch nummern und buchstaben ausm abc benutzen, die schwachstelle

white list ist definitiv eine lösung, aber eine "sehr" schlechte, ich sag nicht dass meine besser ist, aber es gibt viel sicherer methoden.

"sehr" weil relativ
Zum Vergrößern anklicken....

Ähm du weisst aber schon wovon du redest?
Whitelist ist die bewiesen sicherste Methode, sicherer geht es net mehr, und dynamisch über ne DB ist schlimm? oh, ich füge alle 4 Wochen, wenn nen neues spiel kommt mal ne neue Zeile in die Datenbank ein, wie schlimm, dafür ist mein System 100% sicher gegen diese eine Angriffsmethode, ach quatsch, braucht ja kein Mensch, ich bastel ne Blackliste, weil es ist ja besser bestimmte Dinge darin zu vergessen :LOL:

Willkommen im Web 2.0 chuone ;)
 
chuone schrieb:
und seiten kennengelernt habe von denen ihr nichtmal wisst dass es sie gibt , ice , bani und raven
Zum Vergrößern anklicken....

Er hat Seiten kennen gelernt. Verbünden wir uns und quetschen sie aus ihm raus!
nawarte.gif


Mal ehrlich, was für eine andere Seite braucht man, um zu Programmieren außer die MySQL Manual und die PHP Manual?
think.gif


Diese Aussage setzt dich einen Rang zurück und damit hast du nur noch 4000 Ränge Vorsprung auf raven udn icq und 6000 Ränge Vorsprung auf mich (*hinterher zieh*).
 
Bani schrieb:
Er hat Seiten kennen gelernt. Verbünden wir uns und quetschen sie aus ihm raus!
nawarte.gif
Zum Vergrößern anklicken....

quetsch mal .. haha
kannst du eigentlich deutsch? es gibt (web)seiten, (zeitungs)seiten und auch seiten (an einer frau), (neue) seiten (der welt die man kennenlernen kann)


edit zu ice:
ich weiß warum ich mich ständig wiederholen muss, du müsstest es doch langsam erkannt haben..
wenn man von vorne herrein gar keinen zugriff auf den admin hat von der seite aus, ist was sicherer und besser? es ist genauso sicher wie deine whitelistmethode aber effizenter und schneller in der parsezeit.
 
Zuletzt bearbeitet:
chuone schrieb:
edit zu ice:
ich weiß warum ich mich ständig wiederholen muss, du müsstest es doch langsam erkannt haben..
wenn man von vorne herrein gar keinen zugriff auf den admin hat von der seite aus, ist was sicherer und besser? es ist genauso sicher wie deine whitelistmethode aber effizenter und schneller in der parsezeit.
Zum Vergrößern anklicken....

und ich muss es scheinbar auch dauerhaft, ein letztes mal für unseren kleinen schuh:
Eine Blackliste biete keine 100%-ige Sicherheit, eine Whitelist dagegen ist bewiesen zu 100% sicher.
Das ist nun mal ganz primitiv ohne Informatikbegriffe für dich, damit du es auch verstehst ;)
 
neija ich kann es schon verstehen, wurden doch bis zu dem Zeitpunkt alle Fehler im FWX und VMS gefunden (denke ich mal), und die werden ja auch wichtigeres zu tun haben, als nen paar billige Lose-Scripte zu durchsuchen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben