Ein bißchen was zum schmunzeln

[Clemens]

Ich entwickle diverse Scripte, die, um diese flexibel zu halten, über Konfigurationsdateien verfügen. Es gibt eine ausführliche Doku und selbst ohne Änderungen an der Config ist das Script auf den meisten Servern lauffähig. Und natürlich gibt es auch einen Support.

Was als erstes auffällt, wenn der Support kontaktiert wird ist, dass die Doku noch nicht einmal geöffnet wurde. Häufigster Hinweis ist: "Geht nicht". In einigen Fällen bekomme ich zumindest die Domain, so dass ich mir vom Web aus die Sache ansehen kann. Und manchmal ist mir anhand dessen schon möglich zu sagen, woran es haken könnte.

Doch am einfachsten ist es für mich, wenn man mir FTP-Zugang gewährt. Und da ist doch tatsächlich folgendes passiert:

In der Config steht beispielsweise folgende Zeile:

$CONFIG['CACHETIME'] = 10; // die Zeit in Minuten, wie lange eine Cachedatei gelten soll.

Die Webmasterin wollte diesen Wert wohl erhöhen und änderte die Zeile wie folgt ab:

$CONFIG['20'] = 10; // die Zeit in Minuten, wie lange eine Cachedatei gelten soll.

Etwa ein Dutzend solcher Änderungen führte dazu, dass das Script nicht wirklich wußte, was es tun sollte Ich hatte also den Spaß, die komplette Config zu überarbeiten und kam wirklich aus dem Lachen nicht mehr heraus (daher hat die Korrektur ein paar Minuten länger gedauert). Danach lief das Script natürlich. Interessant ist aber, wie man auf die Idee kommt, Änderungen wie passiert einzubringen. Ich rätsel immer noch. Gibt es eine Steigerung von DAU, zumal das D für Dümmster steht, was selbst schon ein Superlativ ist.

 

[sebastianh]

Hm....
ist es nicht eigentlich eher traurig?

Außerdem bist du der Scripter und sie die Kunden
Kunden in Config Datein Spielen zu lassen ist immer ne sache für sich.
Du sagst die Scripte sind übers Web erreichbar. Dann sollte es doch leicht möglich sein eine zusätzliche Datei einzupflegen, welche sich mit dem auslesen und speichern der Config Daten beschäftigt.
Möglichkeiten diese Seite dann zu schützen gibt es hunderte.
Der Support wird es dir Danken.

 

[Clemens]

Da in der Config in einigen Feldern auch HTML erlaubt ist, könnte sich ein Installationsscript als fatal erweisen. Die Config selbst ist mit reichlich Kommentaren bestückt. So etwas, wie beschrieben, habe ich bisher noch nie gesehen, da die meisten zumindest verstanden haben, dass man den Teil hinter dem "="-Zeichen verändert. Dabei übersehen einige zwar, dass sich anschließend ein ";"-Zeichen befindet, aber eine entsprechende Fehlermeldung von PHP (sofern überhaupt eingeschaltet error_display=on), zeigt, wo man korrigieren muss. Ich habe im übrigen die Webmasterin nicht ausgelacht, sondern mich über ihre Kreativität gewundert.

Apropo Installationsroutine:
Vor knapp einem Jahr habe ich in Google etwas gesucht und gefunden. Doch nach dem Aufruf des Links stolperte ich über die Installationsroutine von Joomla. Ein Skriptkiddie hätte nun seine helle Freude gehabt. Ich habe diese Domain dann beinahe täglich zwei Wochen lang aufgerufen, doch man bekam stets die Installationsroutine. Ich habe dann nachgesehen, wem die Domain gehört (es war eine de, also habe ich bei Denic nachgesehen) und habe an die dort angegebene Adresse geschrieben und versucht den Webmaster darauf aufmerksam zu machen. Die Email kam als unzustellbar zurück (Postfach existiert nicht).

Ein kurzer Test in der Installation und schon wußte ich, dass eine Datenbank existierte. Ich habe die test-Datenbank angesprochen, was wunderbar funktionierte. Den Rest kannst du dir an einem Finger ausrechnen. Ich hätte nämlich nun die Möglichkeit gehabt, dieses Joomla nach meinem Belieben zu benutzen. Ich habe zwar nicht nachgesehen, aber wenn dann noch der safe_mode auf off gestanden wäre (was ich annehme), dann hätte ich eine tolle Spielwiese gehabt.

Das nenne ich traurig. Und du wirst es nicht glauben, wie oft Webmaster mal eben ein Script auf ihren Web klatschen und es einfach ungelöscht, offen und ungeschützt im Netz stehen lassen.

Die Unachtsamkeit einiger Webmaster beweist auch folgendes. Heute nacht wurde mein Server mal wieder mit einem PHP-Virus bombardiert: http://www.laubrotel.com/letter/id
Das selbst ist keine Erwähnung wert, da diese hundertfach täglich passiert. Aber ich schaue immer wieder mal nach, wo die Hacker dieses Mal den Virus eingeschleust haben. Rufe doch mal die Startseite dieser Domain auf und du wirst feststellen, es ist Joomla. Ein tolles und bequemes Script, die Doku ist ausführlich, in den Foren wird man bestens beraten. Wie konnte dann ein Cracker den Code dort einschleusen?

Eine Zeitlang habe ich die entsprechenden Webmaster angeschrieben und sie darauf aufmerksam gemacht. Meistens wurden die Emails als unzustellbar zurückgewiesen. Ich habe eben bei einem halben Jahr alten Link zu einem PHP-Virus nachgesehen, ob es inzwischen gelöscht wurde. Nee, ist immer noch da. Das ist traurig. Die Email zu diesem Webmaster kam nicht zurück, doch möglicherweise wartete auf der anderen Seite nur ein großer Mülleimer.

Inzwischen findet man in den Whois nicht einmal die Angaben des Besitzers, sondern die eines Dienstes. Du kannst zwar auch dort an eine Emailadresse schreiben, doch diese Emails werden genauso ignoriert.

Das ist traurig.

 

[sebastianh]

War von mir ja sicher nicht böse gemeint und sicher hast du recht das es genug webs gibt die zu wenig oder garnicht gesichert sind.
Habe vor einer weile mal was nettes gelessen, dabei ging es um sachen die man vermeiden sollte zum Beispiel externe Daten entgegennehmen (REQUEST, FILE, etc..). Da man ja immer mit rechnen muss, das es böse menschen gibt XD
Jedes 'input' Feld KANN eine potentielle gefahr bedeuten.
Leider wären scripte ohne diese genannten möglichkeiten langweilig, wenn nicht sogar sinnlos.
Will halt damit ja nur sagen das man immer an leute geraten kann, die es hinbekommen mit einem klick gesamte scripte "tot" zu spielen. Hat wohl jeder schon mehr als einmal hinbekommen

Jeder Computer ist nur so schlau wie die person die vor Ihm Sitzt

Das mit der Installationsroutine ist wohl auch leider wahr :-(
Wie oft sucht man was bei google und landet auf seiten die nicht für den Endnutzer gedacht sind....
Naja.. oft nicht, aber es kommt wohl vor.
aber das liegt ja nicht an den Scripten (najut, vielleicht zum teil) sondern an einer größeren Fehlerquelle "Mensch".

Es fällt ja auch immer wieder auf das der großteil der Zeit nicht für die eigentlichen Aufgaben von Scripten basteln drauf geht, sondern um sicherzugehen das keiner eingreift wo es nicht sein soll.

 

[planet_fox]

Zwecks PHP Scripten könnt ihr euch mal folgendes reinziehn

http://www.linux-magazin.de/VIDEOS/Modsecurity-freie-Web-Application-Firewall

Das ist Vortrag von Ralf Spenneberg der ein bekanntes Gesicht im Opensource bereich ist. Hat auch schon ein paar Bücher geschrieben.

 

[AndréS]

Moin,

na ja ich muss sagen der Fehler war köstlich. Ich habe mich auch gerade mal königlich amüsiert

Grandios.

Ich finde das nicht weiter schlimm, denn man muss es doch auch mal so sehen, DU bist der Scripter, hast also damit Erfahrung, ich weiß nicht ob du nun informatik studiert hast oder eine Ausbildung oder alles dir selbst bei gebracht hast und viel Erfahrung hast. Aber dafür bist du letztendlich da. Ich sehe das immer so, jeder sollte das machen was er kann und wofür er Geld nimmt, bzw. umgekehrt.

Ich arbeite nun auch schon lange mit PHP und rum und ich muss sagen andere Sprachen sind effizienter und sicherer. Ruby als beispiel, aber das ist Geschmack.

Ich mag php aber immer wenn ich was programmiere und ich programmiere gegenwärtig große Projekte, gehe ich auf Nummer sicher. Sei es das ich ein Input bekomme, dafür schreibe ich eine eigene Klasse die dann alle Werte kontrolliert und sichert. SQL's laufen auch über eine Klasse die alle gesichert sind. Ich lebe bei der Programmierung nach dem Konzept "ich traue niemanden, noch nicht mal mir". Wird versucht ein Cross Script versucht, jemand meldet sich falsch an, sind drei Versuche drinn, danach bin ich informiert und die Firewall stellt sich ein sowie ein htaccess datei.

Also nichts gegen dich und deine Programmierung, bitte nicht falsch verstehen, ich meine nur einfach, du kannst ruhig eine Installationsroutine bauen. Mache ich auch immer. Auch einen Zugang für den Support. Aber nur dann wenn man das absichert. Sprich es müssen Infos da sein und immer die Möglichkeit Sachen dann abzuschalten oder gar nicht zu erlauben.
Ich finde z.B. xt:Commerce (habe ich auch mal dran gearbeitet) ist der größte mist. Ich habe das letzte Mal einen Bug gesehen, das glaubst du nicht. Du hast mit paypal bezahlt, kammst auf paypal rauf und bist einfach zurück gegangen und du hast (bei Downloads) die Ware erhalten. Was haben sie gemacht, eine Überprüfung zwischen geschaltet. DAS ist traurig. Warum nicht gleich auf Sicherheit. Warum nicht gleich richtig?

Wir kenne ja nun alle diese lieben Script Kiddies die nichts zu tun haben. Daher sollten WIR als Scripter/Entwickler doch echt sagen, "hier hauen wir sicherheit hoch 10 rein"

Also ist meine Meiung.

Liebste Grüße
AndréS