Re: @Christoph - Frage wg. Sicherheit - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 00:47.
    Re: @Christoph - Frage wg. Sicherheit


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Claus S. (1671 Beiträge) am Montag, 29.Januar.2001, 17:17.
    @Christoph - Frage wg. Sicherheit

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Montag, 29.Januar.2001, 17:24.
    Re: @Christoph - Frage wg. Sicherheit

      Hab noch nicht ganz verstanden, was das Problem ist: Also Du hast das Beispiel aus der Bibliothek mit dem Passwortschutz genommen, oder geht das auch mit einfachen/normalen Datenbanken? Was genau machst Du dann und wo ist die Sicherheitslücke? Gibts da ein Beispiel und kannst Du da den Aufruf hier reinschreiben?

     Antworten

    Beitrag von Claus S. (1671 Beiträge) am Montag, 29.Januar.2001, 18:09.
    Re: @Christoph - Frage wg. Sicherheit

      Hallo,
      habe mich vielleicht nicht richtig ausgedrückt oder die ganze sache noch nicht verstanden. ich versuchs nochmal :
      wenn ich in meiner datei alle berechtigungen setze, dann kann doch jeder ran, d.h. auch wenn ich kein template zum erfassen,ändern,löschen zur verfügung stelle, sondern nur eins zum anzeigen, brauche ich doch nur die url aus der statuszeile aufzurufen, etwas verändern und schon bin ich in der bp-dateiverwaltung der entsprechenden datei.
      oder habe ich da einen knoten im hirn?
      und dann war da noch die frage nach der session-id,
      kapier ich nicht.
      gruss claus

     Antworten

    Beitrag von fb (424 Beiträge) am Montag, 29.Januar.2001, 20:13.
    Re: @Christoph - Frage wg. Sicherheit

      Hallo Claus S,

      he probiers doch einfach mal an Daten von anderen ranzukommen wenn Dus schaffst wissen wir mehr :-)

      Bin mal gespannt :-) FB

      Und wenns geht dann gibts bestimmt auch eine Lösung.

     Antworten

    Beitrag von fb (424 Beiträge) am Montag, 29.Januar.2001, 20:18.
    Re: @Christoph - Frage wg. Sicherheit PS


      Besseer richte doch mal ne seite ein auf der daten nur gelesen werden Dürfen und dann können ja alle mal Probieren die daten zu verändern :-))

      Ja wettlauf bei BP

      wers als erster schafft kriegt??

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 30.Januar.2001, 22:18.
    Re: @Christoph - Frage wg. Sicherheit

      Nein, also in die Dateiverwaltung kommst Du ohne Anmeldung nicht - oder hast Du da eine Möglichkeit gefunden? Bedeutet dass das "etwas verändern"? Oder ist das mehr hypothetisch?

      Falls ersteres: Was konkret musst Du denn verändern um dann in die Dateiverwaltung zu kommen?

      Ansonsten wäre der von fb vorgeschlagene Wettbewerb ganz lustig ;-)

     Antworten

    Beitrag von Claus S. (1671 Beiträge) am Mittwoch, 31.Januar.2001, 00:11.
    Re: @Christoph - Frage wg. Sicherheit

      hallo christoph,
      du hast glücklichereise ;-) recht, habe noch mal alles durchprobiert.
      folgendes szenario:
      http://www.baseportal.de/cgi-bin/baseportal.pl?htx=/baseportal/forum (das ist der aufruf des forums), wobei
      baseportal = in diesem fall der user
      forum = in diesem falls das template, das ganze erscheint ja auch in der statuszeile des browsers.
      
      ersetze ich jetzt die parameter durch meine werte,
      bekomme ich den zugriff auf die datei im bp-format ohne ein template auf meiner hp veröffentlicht zu haben,
      abeeeeeer... nur wenn datei und die dazu am anfang im bp-standard erstellte seite den gleichen namen haben.
      und das kann man ja unterbinden.
      gruss claus

      sorry, aber bevor ich was nicht kapiere, nerve ich halt. danke auch an fb

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 00:47.
    Re: @Christoph - Frage wg. Sicherheit

     Antworten

    Beitrag von Martin F. (9 Beiträge) am Donnerstag, 1.Februar.2001, 01:03.
    Re: @Christoph - Frage wg. Sicherheit

      Also das ist ja wirklich verwirrend hier ...
      Aber ich glaube, was Claus meint, ist relativ einfach zu erklären. Er hat ja das mit der Session-ID nicht richtig verstanden. Was er, glaube ich, meint, ist, daß nach einem Login bei bp in einem geöffneten Browser er auch durch Eingabe des angezeigten URL in der Adressleiste auf die Datei zugreifen kann, ohne sich erneut einloggen zu müssen. Das ist die Sache mit der Session-ID. Die wird dann entweder neu vergeben, wenn der Browser neu getartet wird (solange bleibt sie im Browser-Cache gespeichert - das funktioniert, glaube ich, so bei bp) oder nach Ablauf einer gewissen Zeit. Erst wenn die Session-ID also abgelaufen ist, muß man sich erneut einloggen, auch wenn man den entsprechenden URL direkt im Browser eingibt. Und dann wird erst wieder dynamisch eine neue vergeben, die nur für entsprechende Sitzung oder bis zum nächsten Browserstart gültig ist.

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 01:19.
    Re: @Christoph - Frage wg. Sicherheit

      Aha... Na gut, aber dann ist ja alles Ok, oder ist das eine Sicherheitslücke? (sich fragend am Kopf kratz)

     Antworten

    Beitrag von Martin F. (9 Beiträge) am Donnerstag, 1.Februar.2001, 01:40.
    Re: @Christoph - Frage wg. Sicherheit

      Nein, natürlich nicht. Es sei denn, der User läßt bei aktiver SID seinen Arbeitsplatz unbeaufsichtigt und Andere nehmen Änderungen durch Eingabe an seinem Rechner vor. Aber dafür könntest Du ja nichts ;))

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 12:57.
    Re: @Christoph - Frage wg. Sicherheit

      Ahhhhhhh... Jetzt langsam versteh ich erst worums geht ;-) Hat n bisschen länger gedauert...

      Aber das was Claus geschrieben hat klang noch nach was anderem - also er meldet sich an und ändert dann bei den Parametern den Datenbanknamen und hat dann darauf Zugriff - ist das so richtig?

     Antworten

    Beitrag von Claus S. (1671 Beiträge) am Donnerstag, 1.Februar.2001, 14:56.
    Re: @Christoph - Frage wg. Sicherheit

      uiuiui, da habe ich eine flächenbrand losgetreten ;-)
      dacht, hätte mit der letzten antwort entwarnung gegeben. und mit der sid hat das nichts zu tun.
      in meinen anfangszeiten mit bp hatte ich die datei mit seite erstellt, danach erst die templates und die sind jetzt in die homepage integriert, und da kann jeder ran (aber nicht erfassen und löschen). die ursprünglich angelegte seite ist aber noch da und damit erfasse ich meine daten. und da die seite heisst wie die datei und alle berechtigungen gesetzt sind .........
      http://www.baseportal.de/cgi-bin/baseportal.pl?htx=/gpark/gpurl
      und ausserdem muss man ja auch erstmal den namen rauskriegen. habe da wohl zuviel um die ecke gedacht.
      sorry

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 20:48.
    Re: @Christoph - Frage wg. Sicherheit

      Naja, Sicherheit ist halt wichtig...

      Wenn Du bei "Datenbank / Verwaltung" die Rechte nicht entsprechend setzt kommt keiner ohne PW an Deine Datenbank ran. Punkt. (Hoff ich doch ;-) )

     Antworten


     
 Liste der Einträge von 65550 bis 65700:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.14s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!