ACHTUNG: HACKER-WARNUNG!

    • Original von Ren Quiang
      Über das ACP des WBB2 kann man jeden SQL-Befehl ausführen, also auch Tabellen erstellen, verändern UND löschen. Ich hab's gerade ausprobiert.

      Klar, die Datenbank selbst kann man nicht löschen, aber sämtliche Inhalte. Daher ist die bestmögliche Absicherung des ACPs (insbesondere bei einem WBB2) eigentlich Pflicht.


      Genau.

      Wenn ihr meint, es läge nicht am ungeschützten ACP-Verzeichnis, lasst es ruhig so. Mir persönlich ist es nämlich wirklich egal, wann und wie oft Freiland, Aurora oder Ozeanien noch abrauscht.
      Slobodan Tesla
      Präsident Severaniens


      "... weil die orga [die CartA] vor allem den einem zweck dient: irgendwelchen gescheiterten Vereinsmeiern einen grund zum Streiten über Paragraphen zu liefern." (Michael Schneider)

    • Original von De Rossi
      Das wbb ist bei richtiger Bedienung sicher und es steht eine professionelle Firma dahinter die Support leistet und Sicherheitslücken schließt.
      Bei Mambo sieht das schon anders aus, von der ecoSim ganz zu schweigen

      Wenn du von konkreten Sicherheitsproblemen in der EcoSim weißt, wäre es ganz nett, diese mal zu melden. Oder meinst du jetzt nur, dass keine Firma dahintersteckt? Das ist freilich bei einem MN-spezifischen Projekt kaum zu ändern.
      Patrick Botherfield
      Kingdom of Albernia

    • Warten wir bezüglich WBB 2 doch einfach mal die Reaktionen ab.

      Zur Info: Die so genannten "SQL-Injection" kann schon erfolgreich sein, wenn auf der Ebene von PHP eine Einstellung nicht richtig vorgenommen wurde. Fehlen dann noch Filterfunktionen auf Script-Ebene, ist z.B. ein Login ohne Kenntnis eines Passwortes möglich. (Quelle: "PHP-Sicherheit" von Christopher Kunz und Stefan Esser)

      Natürlich geht man davon aus, dass eine größere Firma solche Dinge beachtet. Aber die Erfahrung zeigt doch ein anderes Bild. Selbst in einem Windows, an dem ständig weiterentwickelt wird, werden immer wieder Sicherheitslücken entdeckt, z.T. sogar bereits gestopfte Löcher. Davor ist auch ein scheinbar ausgereiftes WBB 2 nicht gefeit.
      Jan Stoertebecker
      Vertreter der Republik Freiland

    • Original von Patrick Botherfield
      Oder meinst du jetzt nur, dass keine Firma dahintersteckt? Das ist freilich bei einem MN-spezifischen Projekt kaum zu ändern.


      Sicher. War ja auch kein Vorwurf, sondern eine Anmerkung.

      Original von Jan Stoertebecker
      Natürlich geht man davon aus, dass eine größere Firma solche Dinge beachtet. Aber die Erfahrung zeigt doch ein anderes Bild. Selbst in einem Windows, an dem ständig weiterentwickelt wird, werden immer wieder Sicherheitslücken entdeckt, z.T. sogar bereits gestopfte Löcher. Davor ist auch ein scheinbar ausgereiftes WBB 2 nicht gefeit.


      Ja. Bei dem Verweis auf eine professionelle Firma ging es mir auch gar net darum, wer wie gut codet, sondern dass professioneller Support und eine schnelle Reaktion bei Sicherheitslöchern dahinter steht.

      Ist doch klar, dass ein Unternehmen ein größeres Interesse an seinem Produkt und der Sicherheit des Produktes hat, als ein Hobby-Coder.

      Auch die Comunity hinter dem wbb ist nicht zu verachten in solchen Dingen. Deshalb sagte ich ja auch, dass es ungewöhnlich wäre, dass eine neue Sicherheitslücke eher in der Board-User-Nische MN auffällt, als in den tausenden größeren und höher frequentierten anderen Boards.

    • Ich halte die EcoSim sogar für relativ sicher - warum? Wer macht sich schon die Mühe, Sicherheitslücken in derart beschränkt verbreiteter Software zu finden? Wenn man die üblichen Seiten kennt, braucht man nur ein paar Exploits herunterladen, ein paar Grundkenntnisse in Perl und ein Opfer; für die EcoSim muß man hingegen selbständig nach Lücken suchen.

    • Benutzer online 1

      1 Besucher