Beitrag von Jurenda (305 Beiträge) am Montag, 21.Januar.2002, 08:48.
Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo "bp"-Gemeinde,
Claus Christmeier's Datenexporter ist Spitze!
Wenn man Ihn aus einem eigenen Template aufruft und sehr viel weiß, dann kann man auch auf geschützte Datenbanken zugreifen :-)
Hier habe ich die Testdatenbank von Christoph zum Auslesen: /baseportal/test/sicher
http://baseportal.de/cgi-bin/baseportal.pl?htx=/direkt/baseloch/claus
Herzliche Wochengrüße von Jurenda
PS.: Ich hoffe, Christoph kommt bald!
Antworten
Beitrag von Jurenda (305 Beiträge) am Montag, 21.Januar.2002, 08:58.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Ach verdammt, ich denke immer zu langsam.
Ich hab den Link wieder rausgenommen, denn es ist möglich, sich den Sourcecode anzuschauen und das möchte ich verhindern.
Gruß Jurenda
Antworten
Beitrag von Claus Christmeier (598 Beiträge) am Montag, 21.Januar.2002, 09:05.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Andreas,
vielen Dank für die "Blumen".
Wenn CB es jetzt noch schaffen würde die "Werbe"-Tags am Anfang und Ende der "csv"-Datei zu unterdrücken, dann wäre die Sache doch komplett oder?
Und wenn CB es ebenfalls noch schaffen würden, "<input type=datei... so zu unterstützen, dass man die Daten ins Template bekommt, dann könnte man sogar ein SELEKTIVE DOWNLOAD MIT UND/ODER EINZELNEN FELD-UPDATE BASTELN :-))))
Wäre das nicht noch, das was uns allen fehlt?
Gruß
Claus
Antworten
Beitrag von Jurenda (305 Beiträge) am Montag, 21.Januar.2002, 10:49.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Claus:
Du hast eMail von mir bekommen!
Schreib Deine Antworten ruhig hier ins Forum.
Grüße Jurenda
Antworten
Beitrag von Christian Ries (60 Beiträge) am Montag, 21.Januar.2002, 13:29.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Jurenda,
1. wenn Du die Lösung von CB's Rästel gelöst hast, warum publizierst Du es nicht doch. Ich finde das schon komisch, wenn man die ganze Diskussion verfolgt (und viele Anfänger sind dadurch sicher verunsichert worden), dass Du etwas ankündigst und dann wieder zurückziehst.
2. Was dient es dem Forum-Leser, zu erfahren, dass Du dem Claus eine Email geschickt hast und wozu sollen Claus's Antworten auf Dein Email im Forum gut sein?
Grüsse, Christian
Antworten
Beitrag von Beetle / Thomas H. (1 Beitrag) am Montag, 21.Januar.2002, 13:46. WWW: www.VW-WA.de
@ Ch. Ries - Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
wenn Du die Lösung von CB's Rästel gelöst hast, warum publizierst Du es nicht doch.
---------------
Hallo Christian,
weil es auch böse Menschen gibt und andere wie:
A. Jurenda, C. Christmeier, Sander K., Thomas H. ( Beetle ), Claus S., Sascha F.,
C. Bergmann und alle, die ich vergessen habe.
Auch ich habe schon viele fremde Datenbanken gesehen
und die Leute entsprechend informiert, damit sie
die Rechte sicherer vergeben. Das können welche
bestätigen.
Da aber auch DBs sichtbar sind, wo die Rechte
richtig gesetzt sind ist es eine Sicherheitslücke.
Die grösste Gefahr sind die DBs, die von fleissigen
oben z.B. genannten Leuten in der BIB veröffentlicht
wurden. Dort ist dann sichtbar, wie die DB heisst.
z.B. nutzer oder Ehemalige...
Ich finde das Template von Claus C. SPITZE.
( sorry wegen der Gross-schreibung )
Wenn man keine kriminellen Hintergedanken hat, dann
kann man damit viel effizienter mit BP arbeiten.
Auch einer hier im Forum hat z.B. alle meine Kunden
per Mail angeschrieben, um sie in seine "leere"
Datenbank einzuladen.
Es ist der, der nie BITTE im Posting schreibt :)
Thomas
Antworten
Beitrag von Jurenda (305 Beiträge) am Montag, 21.Januar.2002, 22:01.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Christian:
Den schwarzen Peter nehme ich auf mich!
Eigentlich hast Du recht, aber ich stand vor folgendem Problem:
Sonntag 0 Uhr: Ich hatte eine Sicherheitslücke gefunden. Triumpf!
Sonntag 1 Uhr: Ernüchterung, denn es könnte jemand anders angeregt durch meine Erkenntnisse diese Geschichte nachvollziehen!
Sonntag 8 Uhr: Ich habe die Größe des Sicherheitsloches etwas ausgelotet.
Sonntag 10 Uhr: Adrenalinspiegel steigt immer höher in dem Maße, wie sich das Loch vergrößert.
Etwas Spazieren.
Sonntag 20 Uhr: Ich finde weitere "Lücken" die schreckliche Auswirkungen auf meine Sicherheitslücke haben. Es ist leicht, meinen Code zu lesen!
Sonntag 23 Uhr: noch immer nichts von CB
Schlecht geschlafen!
Montag 8 Uhr: Ich konnte mit Clauses Exporter durch Manipulation mit der Sicherheitslücke jede beliebige Datenbank exportieren!
Montag 9 Uhr: Ernüchterung: Da jeder meinen Code lesen kann (wenn er weiß wie!) ist es möglich, den Quellcode der Lücke zu ermitteln.
Montag 10 Uhr: Alle Quellcodes weggeräumt und versteckt. Meines wissens nur von jemand mit root-Rechten lesbar ;-)
Brötchen verdienen gegangen.
Montag 21 Uhr: Uff, überstanden, Sicherheitslücke geschlossen!
Ich möchte mich hiermit bei allen Forumern und speziell bei Dir lieber Christian dafür entschuldigen, daß ich bis vorgestern mit derartigen Ereignissen noch nie als Betroffener (!) konfrontiert gewesen bin. Dementsprechend habe ich warscheinlich aus Deiner Sicht nicht korrekt gehandelt. Aber die Ereignisse sind schneller auf mich eingestürzt als ich fähig war, die richtigen Entscheidungen zu treffen. Somit mußte ich eben falsche Entscheidungen wieder rückgängig machen.
Den Rest hat Beetle bestens erklärt (danke!) :-)
Meine Erkenntnisse gibts dann demnächst auf /direkt/security/info
Grüße Jurenda
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Montag, 21.Januar.2002, 22:10.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Du lässt Dir das aber zu Herzen gehen ;-)
Antworten
Beitrag von Olaf Mertgen (263 Beiträge) am Montag, 21.Januar.2002, 22:43. WWW: www.shareware4u.de
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Andreas,
jetzt hätt ich ja doch noch mal Frage, vorrausgesetzt, du hast dich ein bisschen von dem schlechten Schlaf erholt ;-)
Das mit den Datenbanken haben wir ja nun wirklich durch in punkto Sicherheit und Zugriff, aber du schreibst, dass man den Quellcode lesen könnte. Heißt das, dass man auf den Inhalt von Templates außerhalb von baseportal zugreifen kann? Bitte jetzt keine neue Sicherheitsdebatte, aber das würde mich mal interessieren.
Gruß, Olaf
Antworten
Beitrag von Jurenda (305 Beiträge) am Dienstag, 22.Januar.2002, 10:08.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Olaf:
JETZT NICHT MEHR!
CB hat auch dieses Loch geschlossen (hm, noch nicht ganz, da hat er was übersehen *hihi* ;-)
Gruß Jurenda
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 22.Januar.2002, 15:58.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Ein Grund mehr, die beta abzuschalten...
Antworten
Beitrag von Christian Ries (60 Beiträge) am Dienstag, 22.Januar.2002, 14:23.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Jurenda,
alles halb so schlimm, wollte nur darauf hinweisen, dass bestimmte Inhalte Deines Forumbeitrags wenig Sinn machen, wenn man den Rest nicht sieht, und dass Antworten auf ein unsichtbares Email keinem etwas bringen.
Übrigens: Hut ab für Deinen und Christoph's Beitrag dazu, bp sicherer zu machen. Auch an alle Beteiligten für die doch grösstenteils faire und interessante Diskussion in einem der lehrreichsten und sinnvollsten Foren, die ich kenne.
Christian
Antworten
Beitrag von Jurenda (305 Beiträge) am Dienstag, 22.Januar.2002, 11:57.
Re: Exportieren von "baseportal"-Datenbanken; DIE ZWEITE ;-)
Hallo Claus:
Also das mit der ersten und letzten Zeile verstehe ich nicht ganz.
Ich hab grad Dein Template ausprobiert und dabei ist folgendes:
Dein Button liefert immer eine HTML-Datei (mime-types gehen glaube ich erst in bbeta).
Als Link könnte man ein "Speichern als..." anstoßen, aber als Button geht das nicht.
In der Anzeige der HTML-Datei ist nur unten die Zeile von baseportal drinnen.
Welche obere Zeile meinst Du?
Mir ist auch aufgefallen, daß Deine Datensätze kein CrLf enthalten?
Im Quelltext der HTML-Seite sind natürlich die Copyrights von cb drinnen. Gebe aber zu daß das <!.. nicht so wirklich glücklich ist, denn da stellts alle HTML-Checker auf und die meisten arbeiten nicht weiter. Das halte ich für eine ziemliche unangenehme Geschichte.
Ach ja, ich hab versucht, meinen IE einigermaßen sicher zu machen und sehr viele der Automatik-Funktionen abgedreht!
Das mit dem <input type=datei...> verstehe ich seitens CB voll und ganz. Da kann die Geschichte sehr unsicher werden (rein Security-mäßig)!
Gruß Jurenda
Antworten
