Autor |
|
spinne Registriert: 21.08.2003
Beiträge:
1902
Wohnort: Luzern
|
[SAFTY] Hinweis
Geschrieben: 05.02.2008 13:19
Für Branchnutzer, sicher Versionsabhängig, szsg dann die 2.4.11
für Trunknutzer eben ab *heute* (für die die direkt am Tropf hängen) oder täglich Updates fahren
|
|
Scout_GP
Registriert: 16.06.2005
Beiträge:
1054
Wohnort: Berlin
|
[SAFTY] Hinweis
Geschrieben: 05.02.2008 12:52
Wieso hast Du geschrieben, ab heute? Ist das nicht von einer bestimmten Version abhängig? Und wenn ja von welcher?
Gruß Scout
+++ Last.fm | Scoutweb +++
|
|
stefan Beiträge:
2435
Wohnort: Münster
|
[SAFTY] Hinweis
Geschrieben: 02.02.2008 08:27
Wie du weißt ist es in Deutschland verboten Software zu entwickeln die die Sicherheit von Systemen testet. Da dieses hier ein öffentliches Forum ist und ich nicht ausschließen kann das "jemand" mit ließt, ist das folgende nur theoretisch zu verstehen.
Sagen wir mal jemand hat ein Programm entwickelt das eben genau das verbotene versucht und in fremde CMS oder andere Systeme eindringen kann.
Dazu analysiert es sowohl den quell code als auch die Reaktion des zu untersuchenden Systemes. Hier sucht es nach allen möglichen schwächen in mehreren Durchgängen. Natürlich alle bekannten Lücken aber eben mehr in Richtung Analyse. Sagen wir mal es ist so gut das es normale Angriffe bei fast jedem System durchbekommt.
Und dann gibt es da noch ein Rest von Systemen die so nicht zu Stören sind.
Aber auch da kann man was machen also in einem der (theoretisch) letzten Teste wird folgendes massiv versucht.
Neuen Benutzer anlegen. Und mit dem sich auf der Seite bewegen und auch hier wieder viele Teste die im ersten Bereich waren nur eben dann mit User Rechten.
Diese letzte Methode führt (wieder theoretisch weil sonst hätte ich mich ja strafbar gemacht) bei jedem System zum erfolgt. Es gibt hier KEIN System das hier geschützt wäre (theoretisch).
So OPN wurde da jetzt geändert so das eben diese nicht mehr geht, nicht ganz unmöglich aber schwerer. Das zu umgehen ist jetzt so schwer das es eben eine Einstellung gibt die dann, wenn der Test kommt (ich würde wenn ich sowas scheiben würde mich zu erkennen geben) eben diese Kontrolle nicht durchführt. So das der Test weiter machen kann und tiefere Funktionen checken kann.
Daher sollte eben diese Einstellung auf NEIN sein.
|
|
spinne Registriert: 21.08.2003
Beiträge:
1902
Wohnort: Luzern
|
[SAFTY] Hinweis
Geschrieben: 01.02.2008 21:58
welche sperren sind das genau?
Thema Registrierung, was genau hast du da noch eingebaut?
Übe Dich in Geduld, wenn Du etwas erreichen willst
-----------------------------------------------------------------------------------------
Geheime Gedanken -- Mein Spinnennetz -- Spinnennetz CH -- RenderWorld Cinema4d
Testbereiche, nachgeschaut und dann nachgefragt:
OPN-Laborcenter --- OPN-Themes --- OPN-Bugtracking --- OPN-Doku --- OPN-FAQ
[ Diese Nachricht wurde bearbeitet von: spinne am 01.02.2008 22:56 (Originaldatum 01.02.2008 21:58) ]
|
|
stefan Beiträge:
2435
Wohnort: Münster
|
[SAFTY] Hinweis
Geschrieben: 01.02.2008 20:55
Ab heute ist es entscheident das in den Einstellungen
OPN-BOT Angriffe ignorieren?
Auf NEIN steht. Dieses ist auch der default Wert nach der Installation.
Ein Ja würde wichtige Sperren außer kraft setzen. Das ja ist nur im Testbetrieb sinnvoll wenn OPN auf Sicherheit getestet werden soll.
Weiterhin ist heute der Registrierung Vorgang in OPN durch neue Verfahren besser geschützt.
Erst nachlesen, dann nachdenken, dann nachfragen...
http://www.catb.org/~esr/faqs/smart-questions.html
openPHPnuke Developer
|
|