800,- Kosten für Sicherheitsmangel???

öhm, naund, nimmt man ein programm und macht bruteforce. und bei billig passwörtern wird das auch schnell gefunden, egal wie lang das ist.

auch wieder wahr. ;-)

ich würde dann aber dennoch bei file_exists() bleiben und gleichzeitig prüfen, ob dee dateiname mit einem . beginnt.

Klar, ist aber dennoch eine Frage der Zeit und durchaus eine Überlegung wert, ob sich der Aufwand überhaupt lohnt.

Ich wäre hier etwas vorsichtig mit solchen Behauptungen ... der Entwickler einer Software trägt durchaus auch eine Verantwortung für die von Ihm entwickelte Software ... und kann sich nicht alleine darauf berufen, dass der Angriff ... durch einen in diesem Falle definitive vorhandenen "Programmierfehler" durch eine entsprechende Konfiguration hätte verhindert werden können.

Letzlich sind Provider bis heute noch dazu gezwungen Sicherheitsmechanismen herunterzuschrauben, alleine weil ein Haufen stümperhaft entwickelter Software sonst nicht lauffähig wäre (z.B. register_globals) ... dieses schliesst insbesondere verschiedene Safe-Mode Mechanismen ein.

Ein Blick in die AGB's könnte etwas weiterhelfen ... dort könnte beispielsweise eine Haftung in solche einem Falle explizit erwähnt sein ... !

Dem Provider eine Gegenrechnung aufzumachen würde ich in diesem Falle für eine genauso Große Dumm- also auch Frechheit halten ... gerade auch in Anbetracht des genannten, vollkommen blöden, Stücks Software Ausschnitt ... !!

Vielleicht muss Dummheit auch machmal einfach bestraft werden ... damit mach einer Qualität zu schätzen weiss ... !

Sehr geehrte Fr. Lehrmeister!

Was hast denn du heut früh im Müsli gehabt? Ich hab ne ganz normale Frage gestellt und es ist darüber diskutiert worden.
Wahrscheinlich bist du schon schlau zur Welt gekommen - sorry, daß ich mich deinem Horizont nicht ausreichend nähern konnte und durch meine wirklich stümperhafte Programmierung evt. dein Augenlicht beeinträchtigt wurde.

Ich übergebe mich.
Michael

ja kennst du denn goth noch nicht?!

Re: 800,- Kosten für Sicherheitsmangel???

irgendwie muss ich Goth größtenteils recht geben.
hm, ist das dann rechtlich gesehen noch grobe fahrlässigkeit, oder schon vorsatz ...?

du wusstest es ja bereits vorher - warst nur zu faul, es wirklich ordentlich zu machen.

.. ja ... und ich habe geantwortet ... so funktioniert 'ne Diskussion ... !
... ja ...
Mein Augenlicht ist nicht so empfindlich ... sonst wäre ich seltener hier ... aber stümperhaft stimmt schon ... !

Im übrigen bin ich der Meinung, dass Du mit 800€ noch viel zu billig davon gekommen bist ... hat Du auch nur ansatzweise 'ne Ahnung was es für ein Aufwand ist 'nen gehackten Rechner wieder clean zu bekommen ?!

Diese Mentalität von euch Möchtegern-Pseudo-Programmierern kotzt mich langsam an ... :[list=1][*]Billighoster ...[*]Huähhh ... warum ist register_globals nicht "on" ... [*]Plärr heul ... im Safe-Mode kann ich auf die Datei '.blahblah' nicht zugreifen ...[*]... und dann jammern wenn alles durch eigene Dummheit in die Wicken geht ... [/list=1]
Es gibt eben Leute die sollten einfach die Finger von der Tastatur lassen ... !

Ich denke, schuld seid ihr alle.

Du, weil du dir nicht genug Gedanken über die Sicherheit deiner Anwendung gemacht hast bzw. die damit verbundenen Mühen gescheut hast, der Hoster, weil er das System wohl doch recht sorglos konfiguriert hat.

Das er dann noch von if-Schleifen redet, macht ihn für mich persönlich auch nicht unbedingt kompetenter.

Wenn der Hoster ein Freund von Freunden ist, dann kan man das doch bestimmt auch anders regeln? Helf ihnen doch beim Säubern, dann lernt ihr evtl. alle was von Serverkonfiguration

Liebe Leute!

Ich will hier jetzt echt nicht streiten - liegt mir fern. Bin wirklich kein ausgewachsener Programmierer und hab für meine Leistungen auch keine Programmierer-Honorare bekommen - dies mal zur allgemeinen Beruhigung. Hab mich einfach im letzten Jahr vermehrt mit PHP beschäftigt und ein paar Pages mit CMS für befreundete Unternehmen gebastelt die meinten es wäre doch toll, wenn man seinen Content selbst verwalten könnte.

Learning by doing hieß die Devise - und daß beim Hobeln Späne fliegen, ist allseits bekannt (außer bei dir Goth-Duden - du bist natürlich schon so schlau seit du weißt, daß Gaki nicht nach Schokolade schmeckt...).

Mit dem Provider gab´s schon immer Schwierigkeiten - z.B. daß ich als normaler Hosting-Kunde mit meinem Login sämtliche Mysql-Datenbanken einsehen konnte usw...

Bin ja auch nicht ganz verschattet in der Birne und bin mir durchaus bewußt, daß es immer Menschen geben wird, die (zurecht) wissen wie es besser geht.

Bin ja auch bereit, meine Fehler - die ich definitiv aus Unwissenheit begangen hab - auszubessern. Hab die fragliche Page auch mit dem Fehler auf einen Server meines Hauptproviders gelegt - und da war dieser Hack nicht möglich.
Wenn ich als Provider register_globals abschalte, dann merken die User eh, daß sie an ihrer Programmiererei was ändern müssen - aber ALLES kann man nicht bedenken - sonst würde Microsoft wahrscheinlich nicht mehr existieren, weil sie vor Klagen wegen Sicherheitslücken übergehen würden (wie hier schon richtigerweise festgestellt wurde).

Naja, wie auch immer. Bin mittlerweile eh schon wieder weg vom Programmieren und werde dennoch alle von mir programmierten Seiten mit diesem (für mich) neuen Aspekt auf Sicherheit überprüfen.

Danke nochmal für eure Meinungen - habt mir sehr geholfen.

LG, Michael

Ich kenn' da auch 'nen Spruch ... "Unwissen (oder Dummheit) schützt vor Strafe nicht ..." ... also troll weiter so ... !

@Goth:
Wenn jemand unsauber programmiert und sich damit was einfängt, das INNERHALB seines Webspace Schaden anrichtet (also z.B. ein Skript installiert, das den Trafficrahmen sprengt), ist der Webspace-Besitzer selbst schuld und trägt die daraus entstehenden Kosten. In dem Sinn schützt Dummheit vor Strafe nicht, und Du hast völlig recht.

Wenn der Einbrecher aber über den kompromittierten Webspace auf einem Shared-Angebot am GESAMTEN SERVER fummeln kann, hat der Provider Mist gebaut, für den er voll verantwortlich ist - schließlich trifft das einen Bereich, auf dessen Sicherheitsvorrichtungen der Hostingkunde keinerlei Einfluß hat und somit auch nicht verantwortlich ist. Finde ich.

Niemand wird dazu gezwungen. Wer das tut, um dem Markt gerecht zu werden (was ich voll verstehen kann), geht ein Risiko ein, für das er im schlimmsten Fall geradestehen muß. Fertig. Wer das nicht will, geht keine Kompromisse ein und verliert ein paar Kunden.

Leider ist das nicht so ... weil eben noch viele "Standard-Script" ... ich denke da an mein lieblings Shop-Script ... saumäßig schlecht programmiert sind ... !

trotzdem bin ich der meinung der provider hats vermasselt.
er hätte lediglich eine änderung vornehmen müssen, und trotzdem würden ALLE dummen scripte weiterlaufen.