Beitrag von Claus Christmeier (598 Beiträge) am Samstag, 19.Januar.2002, 11:58.
Exportieren von "baseportal"-Datenbanken
Antworten
Beitrag von Tina (259 Beiträge) am Samstag, 19.Januar.2002, 13:28.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Hallo Claus,
super, super, aber was ist denn nun mit dem Datenschutz ???
Ich habe gerade mal testweise 2 dbs von fremden Accounts gesaugt. Funktionierte super, doch was sagt denn wohl der Eigner der dbs :-)
Ohne einen Passwortschutz halte ich deinen Datenexport für sehr gefährlich.
Gruß
Tina
Antworten
Beitrag von Claus Christmeier (598 Beiträge) am Samstag, 19.Januar.2002, 13:39.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Hallo Tina,
wenn Du mir sagst, wie ich den DATENSCHUTZ realisieren kann, dann bau ich ihn SEBLSTVERSTÄNDLICH SOFORT ein, gar keine Frage.
Aber eigentlich:
Dis das nicht die Sache von "baseportal" sich darum zu kümmern?
Was hast Du dazu für eine Meinung?
Bis bald.
Gruß
Claus
Antworten
Beitrag von Tina (259 Beiträge) am Samstag, 19.Januar.2002, 14:03.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Schwieriges Thema. Ich denke, dass über 90% der bp-user keine grossen Perl-Kenntnisse haben und sich über die normale Freigabe der Rechte sich nicht im klaren sind.
Das heißt aber auch, das ich mit deinem Tool auf 90% der dbs zugreifen kann.
Ein Passwortschutz kann wohl nur realisiert werden, wenn du auf die Userdatenbank von bp zugreifen kannst und so das Passwort abgefragt werden kann.
Ich glaube, dass die baseportell-group so etwas schon macht.
Müsste Christoph mal etwas zu sagen ;-)
Gruß
Tina
Antworten
Beitrag von Claus Christmeier (598 Beiträge) am Samstag, 19.Januar.2002, 14:11.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Hallo Tina,
wenn CB mir sagt wie das geht, mach ich das sofort.
Aber vielleicht gefällts dem CB ja so gut, das er es integriert und so wäre dann das Problem auch behoben.
Wie sagt der Kaiser "schaun mer mal"
Gruß
Claus
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 14:49.
Das gefällt mir garnicht ...
Also erstens kapier ich nicht, worin denn der große vorteil von deinem Script gegenüber der ganz normalen Export funktion liegt, zumal er bei dir ja noch diese baseportal-tags in die csv reinhaut.
Und dann gefällt es mir natürlich überhaupt nicht, das jeder z.b. meine Benutzerdatenbank auslesen kann (mit Passwörtern im Klartext!!!!). Das dürfte auch Betreibern von Communities wie planet-gaga etwas unbehagen bereiten. Jetzt bin ich doch mal echt froh, zu netdirekt gewechselt zu haben, weil da sind meine datenbanken anscheinend außerhalb der reichweite deines scripts. Werd jetzt gleich mal die auf baseportal.de verbliebenen löschen, für alle Fälle.
Mein Rat: mach das Script nicht für alle zugänglich, zumindest nicht, bis CB sich dazu geäußert hat.
ciao,
hofi
Antworten
Beitrag von Claus Christmeier (598 Beiträge) am Samstag, 19.Januar.2002, 15:08.
Re: Das gefällt mir garnicht ...
Hallo hofi,
ich denke das Du mich angesprochen hast (es fehlt nämlich die Anrede).
Wer´s nicht kapiert der braucht und kann das "TEMPLATE" ja dann auch gar nicht verwenden oder?
Das die Tag´s da mit übertragen werden, ist ja wohl nicht mein Problem, ich mach die nicht dahin - wäre froh, wenn die weg wären.
Falls Du es nicht verstehen sollstest, man kann NATÜRLICH nur Datenbanken auslesen von denen man den GENAUEN Pfad kennt - hast Du diese wohl evtl. irgendwo veröffentlicht?
Ratschläge hat es schon immer gegeben - weißt Du viel davon befolgt worden sind?
so long
Claus
PS:
---
Auf netdirekt, hab´ich auch einen Account!!!
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 15:20.
Re: Das gefällt mir garnicht ...
Hallo Claus,
Vielleicht bin ich so blöd wie du es von mir denkst, also erkläre mir doch bitte, was an einer von deinem Template erstellten CSV-Datei besser ist als einer von CBs Export-Funktion (findet sich in der Verwaltung)erstellten.
Und was das "man kann nur Datenbanken auslesen von denen man den genauen Pfad kennt" angeht - der ist oft nicht so schwer rauszufinden. Der Browser zeigt ja den genauen Pfad eines Templates an, und die meisten leute nennen ihre Datenbanken genauso wie ihre Templates, um sich das "db=irgendwas" zu sparen.
Ich hatte jetzt zum beispiel keine Probleme, Datenbanken von ein paar im Nutzerverzeichnis veröffentlichten Anwendungen zu lesen.
Du kannst jetzt natürlich sagen, jeder müsse selbst sehen, wie er seine Daten schützt, aber das kann nicht sinn der sache sein, denn trotz tiefgehender Möglichkeiten richtet sich baseportal doch vorallem an den "kleinen" anwender, der vom programmieren keine ahnung hat und mit baseportal-bordmitteln auskommt.
Ich würde jetzt wirklich gerne mal wissen, was CB dazu sagt.
Und was diese alberne Drohung am Ende?
ciao,
hofi
Antworten
Beitrag von Claus Christmeier (598 Beiträge) am Samstag, 19.Januar.2002, 16:13.
Re: Das gefällt mir garnicht ...
Hallo hofi,
Du möchtest doch aber jetzt nicht das Kriegsbeil ausgraben oder?
>>also erkläre mir doch bitte, was an einer von deinem Template....
An der ".csv"-Datei selbst ist gar nichts anders, bis auf eine Ausnahme -DIE FORMATIERUNG EINES DATUMSFELDES-.
Der Unterschied liegt in den erweiterten Möglichkeiten:
1.) Man kann die Reihenfolge der Felder in der Ausgabedatei bestimmen.
2.) Man kann nach MEHR ALS EINEM FELD SORTIEREN und je Feld bestimmen ob auf- oder absteigend.
3.) Wie schon erwähnd, man kann die Datumsfelder formtiert ausgeben. (wenn Du das Forum aufmerksam verfolgt hast, dann wirst Du gelesen haben, dass immer wieder "bp"-Kollegen (natürlich auch weibliche) Probleme mit den Datumsfeldern in Excel und/oder Access hatten und haben).
4.) Man kann SELEKTIV exportieren, d.h. in dem Felde "FELDABFRAGEN" kann man genau die gleichen Abfragen eingeben wie bei jedem "bp"-Dateibefehl auch. Ob eine oder mehrere, ist vollkommen egal - ob mit UND oder ODER verknüpft auch.
5.) Man kann den Namen der Ausgabedatei bestimmen, d.h. der heisst nicht immer "baseportal.pl" sondern als Default den Namen der Datenbank.
Nebenbei bemerkt, das Template ist eine ERSTAUSGABE, ich habe es von gestern Abend ca. 17.30 bis heute Morgen ca. 8.00 erstellt und dass man evtl. noch weiter Features einbauen kann und evtl. vorhandene Fehler berichtigt, habe ich ja schon im Ankündigungsthread gepostet.
>>Und was das "man kann nur Datenbanken auslesen von denen man den genauen Pfad kennt" angeht...
1.) wer schickt denn schon einen Datenbankpfad über die URL mit herum?
2.) wer so bequem ist, in einen Befehl "db=???" zu schreiben, dem kann man eben nicht helfen, dass das einen "kleinen anwender", der vom progrmmieren bzw. perl keine Ahnung hat vor Probleme stossen sollte, kann ich einfach nicht nachvollziehen.
>>Ich würde jetzt wirklich gerne mal wissen, was CB dazu sagt..
Ich auch, denn wie Du ja schon aus den Postings von Tina und mir ersehen kannst, wäre es ja auch mein/unser Wunsch, dass so etwas ähnliches wie eine Nutzer/Passwort-Abfrage implementiert werden kann und wird.
>>Und was diese alberne Drohung am Ende?...
Erstens wieso "albern" und zweitens wieso "Drohung"?
Wenn Du Dir den Schuh anziehst und es so auffassen willst, kannst Du doch nicht einen anderen dafür verantwortlich machen oder?
Ich wollte eben nur mitteilen, dass ich ebenfalls einen Account bei "netdirekt" habe und dieses Template DORT GANZ BESTIMMT EINSETZEN WERDE.
So jetzt ist es doch etwas viel geworden und drum ist schluss.
Gruß
Claus
PS:
---
Diesmal OHNE PS :-)
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 16:30.
Halt mal ...
Irgendwie habe ich hier das gefühl, dass wir aneinander vorbeireden.
Ich habe weder was gegen dich (was du zu glauben scheinst) noch gegen dein template, mir gefällt nur nicht, das es jedem, sogar nicht baseportal-mitgliedern, theoretisch zugriff auf datenbanken fremder zugriff erlaubt.
Es allerdings so, dass das *nicht* dein Fehler ist, das wir uns da richtig verstehen. Ich mache dich nicht für diese Sicherheitslücke verantwortlich, ich sähe es nur gerne, wenn du dein Template nicht öffentlich machst, solange diese Lücke existiert.
@CB: Kann man baseportal nicht so einrichten, dass man von seinen Templates aus nur auf Datenbanken zugreifen kann, die ebenfalls im eigenen Bereich liegen?
Ich habe das mal ausprobiert, und es ist kein Problem, bei mir ein Template mit <do action=all> anzulegen, dass einfach eine fremde, ungeschützte Datenbank anzeigt.
Na ja, da du schon geantwortet hast, während ich das hier geschrieben habe:
>>Nebenbei bemerkt, das Template ist eine ERSTAUSGABE, ich habe es von gestern Abend ca. 17.30 bis heute Morgen ca. 8.00 erstellt und dass man evtl. noch weiter Features einbauen kann und evtl. vorhandene Fehler berichtigt, habe ich ja schon im Ankündigungsthread gepostet.
Eben. Deshalb hatte ich vorgeschlagen, es erst zu veröffentlichen, wenn der "Fehler", fremde Datenbanken auslesen zu können, behoben ist.
>> 1.) wer schickt denn schon einen Datenbankpfad über die URL mit herum?
Jeder, der seine Datenbank genauso nennt wie das Template. Dann sind der Pfad des Templates und der Pfad der Datenbank nämlich *gleich*. Und den Pfad des Templates zeigt jeder Browser immer an.
>> 2.) wer so bequem ist, in einen Befehl "db=???" zu schreiben, dem kann man eben nicht helfen, dass das einen "kleinen anwender", der vom progrmmieren bzw. perl keine Ahnung hat vor Probleme stossen sollte, kann ich einfach nicht nachvollziehen.
Ähm, die "bequemen" Leute sind die, die *nicht* "db=???" (was im Quellcode der Html-Ausgabe übrigens nicht angezeigt wird) dazuschreiben, das heißt nämlich, dass ihre Datenbank dann genauso heißen muss wie das Template. Und das machen meistens die, die keine große ahnung vom programmieren haben. Ist das so schwer?
>>Ich wollte eben nur mitteilen, dass ich ebenfalls einen Account bei "netdirekt" habe und dieses Template DORT GANZ BESTIMMT EINSETZEN WERDE.
Und das als antwort auf meine Hoffnung, meine Datenbanken bei netdirekt wären sicher, empfinde ich halt als Drohung. Besonders weil du ständig großbuchstaben benutzt. Bist du dir eigentlich bewusst, das großbuchstaben der Netiquette nach bedeutet, dass du "rumbrüllst"? Ich fühle mich eigentlich nie sehr wohl, wenn mich jemand anbrüllt, deswegen habe ich das was du geschrieben hast wohl auch als etwas aggressiver gedeutet als es vielleicht gemeint war.
Und wie gesagt: ich habe nichts gegen dein Template an sich, ist ziemlich gut gemacht, nur das es nicht sicher ist stört mich. Aber das liegt eben an baseportal.
ciao,
hofi
Antworten
Beitrag von Claus S. (1671 Beiträge) am Samstag, 19.Januar.2002, 17:01.
Re: Halt mal ...
hallo,
habe mir die diskussion jetzt eine weile angeschaut. leider spitzt sich das jetzt etwas zu. gegenseitige vorwürfe nützen da nichts; und jeder dürfte wissen, was netiquette ist, aber das GROSSBUCHSTABEN brüllen bedeutet, wusste ich nicht und da stehe ich bestimmt nicht alleine. drum lasst uns wieder zum bp-typischen grundton zurückkehren ;-) und zum eigentlichen thema:
die sicherheitslücke (wenn es denn eine ist) beunruhigt mich auch. aber mir fällt da spontan eine diskussion ein, die ich zu meinen bp-anfängen vor über einem jahr mit christoph hier im forum führte, in der ich sicherheitsbedenken äusserte und die mir damals genommen wurden durch cb und sk. aber möglicherweise habe ich es die ganze zeit falsch verstanden oder es wurde nicht richtig erklärt:
nichtperler benutzen die befehle do action und loop.
hierzu muss man aber die berechtigungen für die dateien setzen, sonst funzen die programme nicht (bisher richtig?).
wenn man allerdings die perl-datei-befehle get etc. benutzt, dann kann man auf die datei zugreifen, auch wenn sie nicht auf 'lesen' gesetzt ist (iimer noch richtig?).
und schliesslich hatte ich es so verstanden, dass diese (get-)templates aber in dem eigner-account liegen muss. (dann hätten wir ja die sicherheit, weil nur der eigner ein solches programm erstellen kann).
das letzte dieser drei beschreibungen habe ich dann wohl falsch verstanden, denn ich habe auch dieses tool
von claus c. ausprobiert und finde, dass das eine tolle sache ist, aber habe auch mit schrecken festgestellt, das ich mit einem fremden programm auf eine meiner dateien zugreifen kann.
und ich bin schon der meinung, dass man mit wenig phantasie auf die dateinamen anderer zugreifen kann.
eine userdatei mit passworten wird in den meisten fällen auch so heissen (user, usr, benutzer etc.)
also bin ich auch der meinung, dass hier unbedingt christoph gefragt ist und in anbetracht der brisanz des themas bitte mit einer erklärung nicht nur für die oberen zehntausend bp'ler.
danke und gruss
claus
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 17:24.
Re: Halt mal ...
Mmh, also in jeder ausgabe der Netiquette, die ich bis jetzt gesehen habe, steht ein Satz wie "Die Schreibung ganzer Sätze in Großbuchstaben wird als Schreien interpretiert und gilt als extrem unhöflich."
Beispiel: http://www.informatik.fernuni-hagen.de/virtueller-studienplatz/pc-tutorial/nett.html
Oder einfach bei google "netiquette großbuchstaben" eingeben, liefert ziemlich viele treffer.
Aber gut, darum geht's jetzt ja wirklich nicht ;-)
Ich stimme auf jeden fall darin überein, dass jetzt nur noch einer was zu sagen hat, nämlich CB.
Apropos: ich habe mal bei meiner benutzerdatenbank die leserechte weggemacht, daraufhin hat anmeldung zwar noch funktioniert, aber ein perl-script, das mit get die anzahl der besuche auslesen sollte, brachte die fehlermeldung "lesezugriff nicht gestattet". Seltsam.
Antworten
Beitrag von Claus S. (1671 Beiträge) am Samstag, 19.Januar.2002, 17:43.
Re: Halt mal ... (wahrscheinlich offtopic)
hallo hofi,
wie so oft im leben, haben andere leute eine andere meinung. habe mir mal den link über netiquette zu gemüte geführt. meine antwort richtet sich aber nicht gegen dich, bitte nicht falsch verstehen:
diese akademische getue wiederstrebt mir, da hat irgendjemand sich bemüssigt gefühlt, eine regelliste aufzustellen ohne jeglichen wissenschaftlichen oder sonstigen hintergund. netiquette sollte man sich nicht aufzwingen lassen, das ist eine zeitgeisterscheinung, die auch wieder verschwindet. dabei gibt es witzige und brauchbare elemente, aber auch das gegeteil ist der fall (plonk, pardauz, hiho).
viel wichtiger und effizienter ist es doch, sich so höflich zu verhalten, wie man es auch gerne selbst erfahren möchte (zugegeben, es gelingt mir nicht jedesmal) und dazu brauche ich keine anleitung, dass habe ich irgendwie in meiner kindheit als erziehung mitbekommen. ich jedenfalls bemühe mich weitgehend um orthografie und halte es nicht für unnötig, einen thread mit einer begrüssung zu beginnen.
aber vielleicht zähle ich diesbezüglich schon zu den dinos und wenn ich dann an die pisa-studie denke :-(
gruss
claus
wahrscheinlich ist kleinschreibung auch nicht erlaubt, aber das ist ein tribut an meine faulheit.
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 18:03.
Re: Halt mal ... (wahrscheinlich offtopic)
Hallo Claus,
ich muss zugeben, das ich mich auch nicht in jedem Punkt an eine "offizielle" (gibt es glaub ich sowieso nicht) Netiquette halte, aber bestimmte grunddefinitionen halte ich schon für sinnvoll. Zum beispiel eben das mit den großbuchstaben oder dass man wörter in Sterne und Unterstiche setzt um sie zu betonen.
Was die anrede angeht (wurde mir ja auch schon vom anderen Claus vorgeworfen): Da bin ich jetzt vielleicht ein bißchen eigensinnig, aber ich halte das in der regel eigentlich nicht für nötig. Meiner Ansicht nach ist allein dadurch, wem ich antworte, auch klar, wen ich anspreche. Und ich empfinde das fehlen der Anrede nicht als unhöflich.
Aber das ist ja das Grundproblem. Der eine findet es unhöflich, wenn ihn jemand mit Großbuchstaben anredet, der andere, wenn das "hallo" am anfang fehlt. Aber irgendwie müssen wir es trotzdem schaffen, vernünfig miteinander zu reden, auch wenn's uns manchmal schwerfällt.
Oh oh, jetzt rede ich schon wieder so altklug daher. Nix für ungut, gell?
ciao,
hofi
P.S.: kleinschreibung ist okay (zumindest meiner meinung nach ;)
Antworten
Beitrag von Claus Christmeier (598 Beiträge) am Samstag, 19.Januar.2002, 17:05.
Re: Halt mal ...
Hallo hofi,
ich möchte zu Deinen Ausführungen nur noch zum einem Punkt noch Stellung, das ja, so glaube ich, momentan wenigsten alles gesagt/geschrieben wurde.
Bertrifft GROSSSCHREIBUNG:
Ich bin es gewohnt in meinen Schreiben Dinge die ich für hervorzuheben erachte entweder zu unterstreichen bzw. in kursiv zu schreiben. Bei besonders wichtigen Worten oder/und Absätzen schreibe ich auch manchmal fett.
Alle diese Attributte sind leider in dieser "textarea" nicht möglich. Also bleibt mir eben nur GROSS ZU SCHREIBEN.
Gruß
Claus
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 17:13.
Ist okay.
Muss man nur wissen. Ich kenne es halt nicht anders, als das großbuchstaben aggression ausdrücken. Deswegen fühlte ich mich doch ziemlich angegriffen. Kommt nicht wieder vor ;-)
Antworten
Beitrag von Christian Vogeley (15 Beiträge) am Samstag, 19.Januar.2002, 17:55.
Re: Das gefällt mir garnicht ...
Hallo,
also ich muss hierzu sagen, dass ich diese Möglichkeit des Auslesens der Datenbanken für eine GRAVIERENDE SICHERHEITSLÜCKE halte. Christoph sollte sich hierzu DRINGEND äußern.
Ich habe in jedem Fall meine "sicherheitsrelevanten" Daten vom Netz genommen und werde sie auch nicht wieder aufspielen, solange es hier keine Lösung gibt.
Im Übrigen trägt hierfür Claus sicherlich überhaupt keine Schuld.
Dies muss von bp verhindert werden, dass Daten auf diese Weise ausgelesen werden können.
Gruß Christian
Sorry für die etwas unwirsche Ausdrucksweise, aber ich denke hier ist wirklich Abhilfe nötig.
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 19.Januar.2002, 18:51.
Re: Das gefällt mir garnicht ... - Nein, es ist keine Sicherheitslücke...
Das ist wirklich ein altes Thema, das kam, wie Claus C. schon sagte, vor einem Jahr oder so auf... Und er hats schon ganz gut zusammengefasst, was geht und was nicht. Hier nochmal (hoffentlich) so klar wie möglich die entscheidenden Punkte:
Eigene Accounts:
- Mit "do action" und "loop" kann man auf Datenbanken im eigenen Account nur zugreifen, wenn bei "Verwaltung" das Häckchen bei "Jeder darf Daten abrufen?" gesetzt ist.
- Innerhalb von "<perl>..</perl>" (mit "get/mod/put/do_all...") kann man auf Datenbanken im eigenen Account immer ohne Einschränkung zugreifen.
Fremde Accounts:
- Ja, man kann auf Datenbanken in anderen Accounts zugreifen, wenn dort bei "Verwaltung" das Häckchen bei "Jeder darf Daten abrufen?" gesetzt ist. Das geht mit "do action", "loop" oder "get/mod/put".
- Nein, man kann NICHT auf Datenbanken in anderen Accounts zugreifen, wenn dort bei "Verwaltung" das Häckchen bei "Jeder darf Daten abrufen?" NICHT gesetzt ist.
Das Ganze gilt natürlich jeweils für Lesen/Schreiben/Ändern entsprechend.
Ich kann hier keine Sicherheitslücke entdecken. Höchstens ein Problem, wenn jemand den Satz "Jeder darf Daten abrufen" nicht versteht - aber kann man den wirklich anders verstehen?? Wer hier ankreuzt sollte doch davon ausgehen, dass: JEDER DATEN ABRUFEN DARF. Zumindest so wie ich die Bedeutung des Begriffs "jeder" verstehe... ;-)))
Noch ein kleiner Beweis/Test. Ich habe eine Datenbank mit folgendem Pfad:
/baseportal/test/sicher
mit den Feldern "Name" und "date". Es sind KEINE Rechte vergeben - so, nun möchte ich sehen, wer es schafft den Inhalt der Datenbank rauszufinden... Das geht weder mit Claus Export-Template, noch sonstwie... ;-))
Antworten
Beitrag von hofi (17 Beiträge) am Samstag, 19.Januar.2002, 19:17.
Re: Das gefällt mir garnicht ... - Nein, es ist keine Sicherheitslücke...
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 19.Januar.2002, 20:28.
Re: Das gefällt mir garnicht ... - Nein, es ist keine Sicherheitslücke...
Antworten
Beitrag von Christian Vogeley (15 Beiträge) am Samstag, 19.Januar.2002, 19:27.
Re: Das gefällt mir garnicht ... - Nein, es ist keine Sicherheitslücke...
Naja,
ich hatte es zunächst so verstanden, dass es Leuten gelungen sei, auf Datenbanken zuzugreifen, obwohl keine Leserechte vergeben worden sind. Soweit ich das bisher sehe, ist das aber wohl doch nicht möglich. Um so besser.
Gruß Christian
Antworten
Beitrag von Jurenda (305 Beiträge) am Sonntag, 20.Januar.2002, 00:29.
Re: Das gefällt mir garnicht ... - Nein, es ist keine Sicherheitslücke... DOCH?
Hallo Christoph:
Dieser Test hat mich gereizt!
In Deiner Datenbank /baseportal/test/sicher
befinden sich 2 Datensätze mit folgendem Inhalt:
0 = 0|Thomas Walther|968405933
1 = 1|Was ist Licht?|1008882324
Stimmt das?
Ich hab mich ca. 1 Stunde damit herumgespielt.
Schönes Wochenende Jurenda :-)
Antworten
Beitrag von Jurenda (305 Beiträge) am Sonntag, 20.Januar.2002, 02:14.
Re: Das gefällt mir garnicht ... - DOCH, da gibts eine Sicherheitslücke!
Aber eine ganz andere, als die, von der Ihr in diesem Thread gesprochen habt!
Hallo Christoph:
===========
So, jetzt hab ich noch 1 1/2 Stunden draufgelegt:
Sorry, da hast Du doch eine Sicherheitslücke.
Hm, die sollte aber schnell zu schließen sein!
Du mußt jetzt in Deiner "sicheren" Datenbank /baseportal/test/sicher anstelle von 2 Datensätzen nun 3 haben mit dem Inhalt:
0 = 0|Thomas Walther|968405933
1 = 1|Was ist Licht?|1008882324
2 = 2|Jurenda war da|1011488356
Wers nicht glaubt, kann sichs hier ansehen:
http://baseportal.de/cgi-bin/baseportal.pl?htx=/direkt/test/zwei
Ah, nein nein, verraten tu ich das Loch nur dem Christoph!
An welche Mail möchtest Du den Quellcode samt Analyse?
Gruß Jurenda
Antworten
Beitrag von Jurenda (305 Beiträge) am Sonntag, 20.Januar.2002, 02:28.
Re: Das gefällt mir garnicht ... - DOCH, da gibts eine Sicherheitslücke!
Bevor jemand von Euch auf dumme Gedanken kommt, habe ich den vorher geposteten Link geändert.
Ist sicher besser so! Auch ohne "Beweis" nehme ich mal an, daß ihr mirs glaubt.
Gruß an ALLE von Jurenda
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Montag, 21.Januar.2002, 13:52.
Re: DOCH, da gibts eine Sicherheitslücke! Jetzt aber nich mehr...
Das dacht ich mir, dass Dich das reizt ;-)
Und hast gewonnen! Vorerst... ;-) Das "noch sonstwie" war auch etwas vermessen, schliesslich gibt es genauso wenig 100% fehlerfreie Software wie 100% sichere Software (ausser vielleicht OpenBSD ;-) ) - aber es ging ja eigentlich um die angebliche Sicherheitslücke bzgl. Claus Exportseite - Du hast etwas anderes gemacht und ja richtig "gehackt"...
Ich bin auch überrascht, wie das Ganze ging - aber auf das $_get{htx}-Setzen, Perl-Schliessen & Wieder-Öffnen muss man erstmal kommen... Geht jetzt aber nich mehr - probiers aus... ;-) Aber mal schaun, vielleicht findste ja was anderes, bin gespannt ;-)
Antworten
Beitrag von Jurenda (305 Beiträge) am Montag, 21.Januar.2002, 21:25.
Re: DOCH, da gibts eine Sicherheitslücke! Jetzt aber nich mehr...
Hm, ob das schon hacken war, bin ich mir nicht so sicher, denn ich hab einfach drauf los probiert und in einem Template einfach wie wild herumgebastelt.
Und nach 1 Stunde war das Template 2k groß und mit einer Menge an Befehlen gestopft, und Deine Datei stand am Bildschirm. Das Ding dann sauber auf das Notwendige zu reduzieren hat dann nochmals eine halbe Stunde gebraucht! Und am nächsten Tag hab ich dann noch einiges streichen können.
Für mich war das ein reiner Zufallstreffer!
Aber ich hab sehr viel über bp dazugelernt und wenn ich jetzt weitermache, dann ist es wahrlich "hacken". Und ich werde im Sinne aller weitermachen, denn Security ist schon seit einiger Zeit ein Wettstreit zwischen "Crackern" und "Security", in dem die Security versucht, die Löcher schneller zu stopfen, als sie die Cracker finden. Aber bei diesem "Wettstreit" gibt es leider keine Ziellinie. Es ist ein ewiger Überlebenskampf *schnüf*.
Deshalb ist es auch kein Vorerst, denn der abgegrenzte "Wettstreit" ist abgeschlossen. Jetzt kommt die Arbeit! Mal schaun, was ich noch so alles finde, bevor es ein Cracker findet.
Aber sag mal, hast Du Deine Root-Rechte misbraucht? Ich habe Dir nämlich die vorbereitete eMail noch nicht schicken können, denn ich wollte sicher gehen, daß die niemand anderer als Du liest, denn das Loch war sehr groß!
Ach ja, ich hätte da noch einiges dazu zu sagen. Aber NUR an Dich und nicht öffentlich. An welche eMail soll ich das schicken?
Grüße Jurenda
PS.: Ich werde in der nächsten Zeit eine Security-Seite zusammenstellen, wo ich einiges meiner Erkenntnisse reinschreiben werde, damit unsere bp-Gemeinde etwas besser wird mit der eigenen Security ;-)
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Montag, 21.Januar.2002, 22:07.
Re: DOCH, da gibts eine Sicherheitslücke! Jetzt aber nich mehr...
Gut, dann nenns halt nich "Hacken", sondern "Herumprobieren mit dem Ziel unberechtigten Zugriff zu erlangen"... Ist nur ein Wort ;-) (Laut CCC ist ein Hacker jemand, der, wenn beim Kochen alle Herdplatten belegt sind und nochwas zum Wasserkochen für die Eier braucht, dafür die Kaffeemaschine nimmt ;-) ).
Wenn Du eine Mail an info@baseportal.de schickst (wohin sonst?), dann liest die niemand anderes als ich. Dein Template hab ich mir angeschaut, nachdem ich aus Deinem Beitrag eine Zustimmung impliziert habe ("Wohin soll ich den Quellcode ... schicken?").
Wg. Vorerst: Nun, wenn Du magst, dann auf zur 2. Runde - die Datenbank (gleicher Name, gleicher Ort) ist mit neuen Werten gefüllt... ;-)
Antworten
Beitrag von Jurenda (305 Beiträge) am Dienstag, 22.Januar.2002, 10:11.
Re: DOCH, da gibts eine Sicherheitslücke! Jetzt aber nich mehr...
Wo steht bei baseportal die Kaffeemaschine ;-)
Ok, die 2. Runde gilt!
Gruß Jurenda
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 22.Januar.2002, 16:20.
Re: DOCH, da gibts eine Sicherheitslücke! Jetzt aber nich mehr...
Gibt keine ;-) (Im übertragenen Sinn vielleicht die bbeta? Uhh, jetzt wirds philosophisch ;-) )
2. Runde: Hilfe! ;-)
Antworten
Beitrag von Jurenda (305 Beiträge) am Samstag, 19.Januar.2002, 20:45.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Seit dem Weihnachtschat gibt es (oder gab es?) die Möglichkeit, die uid und sid zu benutzen.
Bei meinen Tests hatte ich folgende Geschichte gezeigt:
Wenn ich in den Parametern (Aufruf über den Url mit http://baseportal.de/cgi-bin/baseportal.pl?htx=/cccs/dbexporter&uid=meier&sid=xyz) uid= und sid= enthalten hatte, dann ist mich die Userverwaltung von Baseportal angesprungen.
Du brauchst lediglich in Dein Template beim neuerlichen Aufruf ein ...&uid=$uid&sid=$sid einbauen und den Rest macht baseportal für Dich.
CB wird mich sicher korrigieren, wenns nicht mehr stimmt :-)
Gruß Jurenda
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 19.Januar.2002, 20:50.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Jups, genauso...
Was mir daran nich so gut gefällt, is das "uid" und "sid" nich irgendwie als besonders gekennzeichnet sind, ein "_uid" oder "_sid" wäre wohl besser, damit nich jemand aus Versehen baseportal-spezifische Parameter nutzt - aber dann müsste man auch das besondere "htx" in ein "_htx" umbenennen und das a) gefällt mir auch überhaupt nich und b) müssten dann alle bestehenden Links die zu Templates verweisen umbenannt werden...
Also sollte es wohl einfach so bleiben - womit es 4 spezielle URL-Parameter gibt: "htx", "uid", "sid", "upw"... Alles andere is frei - muss man halt wissen ,-)
Antworten
Beitrag von Jurenda (305 Beiträge) am Samstag, 19.Januar.2002, 20:59.
Re: Exportieren von "baseportal"-Datenbanken - und der Datenschutz?
Der letzte Satz ist essentiel!!!!!
BITTE, schreib das in die Dokumentation rein, und alles wird gut!
Gruß Jurenda ;-)
Antworten
