Sicherheitstest
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
ahnung
code
datei
fehler
gutschein
helfen
http
jemand
leute
minute
nehmen
niemand
sagen
schwachstelle
sicherheit
system
text
url
wissen
zeichen
-
Er hat sicherlich Angst, das man in seinem Code Schwachstellen findet oder sieht, wie schlampig der Code ist.
Wäre aber durchaus mal interessant, den Code zu sehen … -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
sebulon schrieb:
aber der TE ist sich seines Codes wohl doch nicht so sicher... sonst würde er das unter die GPL stellen und kanns dann veröffentlichen, falls er angst hat, dass ihm jemand den code klaut...
und dann könnten wir das ding auseinandernehmen... und dann einschätzen, wie sicher das system ist...
thomasba schrieb:
Er hat sicherlich Angst, das man in seinem Code Schwachstellen findet oder sieht, wie schlampig der Code ist.
Wäre aber durchaus mal interessant, den Code zu sehen …
Quatsch! Das geht doch gar nicht!
Ein sicheres System ist sicher! Basta! -
Entschuldigung, aber wenn ihr nicht einmal den ersten Schritt schafft, dann wäre es vermessen zu erhoffen, dass ihr Fehler in dem Quelltext findet
Da hat er wohl recht.
if ($_GET["b"] = 1) echo "Jetzt weißt du das ich manchmal von Bill Kaulitz nackt träume. Leider hast du sonst nichts hingekriegt!"; else echo "Ich kann leider keine ordentliche Fehlerbehandlung machen :/"; if (TOOLZ_IST_DER_GRÖSTE) echo "Ich steh auf Schlümpfe"; //Oder soo
Wo liegt der Fehler? -
tchab schrieb:
Linux ist auch nicht sicher geworden, weil es seinen Quelltext versteckt hat...
Bill Gates ist auch nicht reich geworden weil er seinen Source Code gezeigt hat
Vielleicht hat toolz ja noch so einiges damit vor
Aber ich würde es auch nett finden wenn du deinen Kernschmelze sicheren Code preisgeben würdest. -
Ich tendiere dazu, fatfox' Einstellung zu teilen. Soll er seinen Scheiß publizieren oder halt nicht. Wenn nicht, gibt es weiter oben genannte Prinzipien, welche dafür sprechen, dass es stuss ist.. Wenn doch: Auch cool. Irgendwie nachvollziehbar. Aber durch closed encryption macht man nichts neues. Da kann ich auch closed alle werte mit 1 XOR'n.
Amüsanter wäre es wohl, dem TE einfach mal sein Konstrukt erklären zu lassen. -
Schade eigentlich, dass ich das hier jetzt erst sehe. Ich hab von Sicherheit ja eigentlich gar keine Ahnung, glaub ich, und hätte durch den thread hier, mit sowohl den Beiträgen der Tester als auch dem kommentierten Code des TE gerne was dazu-gelernt.
Was ich hier echt bescheuert finde, ist, dass alle meinen sie wären die schlauesten und die anderen sind alle dumm (oder sowas). da nehmen sich beide seiten nichts. und welche seite nun recht hat, lässt sich ja leider auch nicht nachweisen ^^ (dazu müsste wirklich schonmal der code auseinandergenommen und ggfs. kommentiert werden... aber wie gesagt, ich hab davon keine bis wenig ahnung)
Trotzallem musste ich bei einigen dingen lachen, die aber weniger den TE selbst oder sein eigentliches anliegen betrafen als vielmehr irgendwelche leute, die ... ach keine ahnung, die ganzen externen links hier halt ^^
was ich damit sagen will, weiß ich selbst nicht mehr genau, aber wenn der TE sein sicherheitssystem wenigstens von den GRUNDPRINZIPIEN her mal kurz vorstellen würde (und damit mein ich nicht den ip-bei-brute-force-sperr-mechanismus), wär das schon fein. -
t-li schrieb:
Ach, mach´ Dir doch nüx daraus.
Schade eigentlich, dass ich das hier jetzt erst sehe. Ich hab von Sicherheit ja eigentlich gar keine Ahnung, glaub ich, und hätte durch den thread hier, mit sowohl den Beiträgen der Tester als auch dem kommentierten Code des TE gerne was dazu-gelernt.
Sicherheitstests werden eh´ überbewertet. -
menschle schrieb:
t-li schrieb:
Ach, mach´ Dir doch nüx daraus.
Schade eigentlich, dass ich das hier jetzt erst sehe. Ich hab von Sicherheit ja eigentlich gar keine Ahnung, glaub ich, und hätte durch den thread hier, mit sowohl den Beiträgen der Tester als auch dem kommentierten Code des TE gerne was dazu-gelernt.
Sicherheitstests werden eh´ überbewertet.
Ähnlich wie persönliche Freiheit, freies Internet, Essen, Luft, Lebensstandart, Geld & natürliche schlaue Politiker. -
Ich bin auf Zufall mal wieder auf dieses Thema gestoßen und möchte doch noch einen Kommentar abgeben. Der Quelltext bleibt unveröffentlicht, da alles andere nur zum Kopieren animieren würde. Ich bin bereits zu einigen professionellen Informatikern (bei denen ich sicher bin, dass sie den Code nicht vervielfältigen) gegangen, mit deren Hilfe ich noch letzte Korrekturen vorgenommen habe. Kurz gesagt ist der Algorithmus also mittlerweile (erfolgreich) im Einsatz. JA, ich habe keine neue IDEE umgesetzt, aber der Code ist natürlich auf den Sicherheitsaspekt optimiert. Das heißt ihr erfahrt kaum Neues, wenn ihr ihn sähet und bereits in die sicherheitstheoretische Informatik eingearbeitet habt.
Ich weiß, dass jetzt wieder viele von euch Dinge interpretieren werden, dich ich niemals ausdrücken wollte, aber ich möchte nur noch auf eines Hinweisen: Wenn ich in diesem Beitrag vom Quelltext gesprochen habe, so meinte ich immer den Sicherheitsrelevanten - Also den Serverseitigen. Warum auch immer hier eine hitzige Diskussion über das UI entstanden ist... darum ging es doch nie.
Noch immer kam kein Vorschlag, wie man an die php-Dateien hätte kommen können, um zumindest einen Ansatz zum Hacken zu bekommen.
Vergesst doch für einen Moment eure Vorbehalte und akzeptiert, dass es mir N I E um die Oberfläche, also das JS ging, da es keinen Aufschluss über das System geben K A N N.
Beitrag zuletzt geändert: 13.9.2012 15:50:13 von toolz -
toolz schrieb:
Fein. Ich habe auf Zufall mal wieder dieses Thema hier gelesen, und möchte doch noch darauf antworten.
Ich bin auf Zufall mal wieder auf dieses Thema gestoßen und möchte doch noch einen Kommentar abgeben.
toolz schrieb:
Nein! Echt?
Der Quelltext bleibt unveröffentlicht, da alles andere nur zum Kopieren animieren würde.
toolz schrieb:
Tja, manche gehen halt zu Fuß, und andere nutzen eben diesen neumodischen Schnickschnack namens Mehl. Oder haben Messimäßig was am Hut.
Ich bin bereits zu einigen professionellen Informatikern (bei denen ich sicher bin, dass sie den Code nicht vervielfältigen) gegangen, mit deren Hilfe ich noch letzte Korrekturen vorgenommen habe.
Und dann gibt es ja auch noch dieses komische Ding, in das sich hineinsprechen lässt. Und weißte was? Es antwortet sogar.
toolz schrieb:
Schön. Schon mal was von SQL-Injections gehört? Damit lassen sich sogar ganz tolle Scripte umgehen. Aber das ist ja auch nur ein Beispiel.
Kurz gesagt ist der Algorithmus also mittlerweile (erfolgreich) im Einsatz. JA, ich habe keine neue IDEE umgesetzt, aber der Code ist natürlich auf den Sicherheitsaspekt optimiert. Das heißt ihr erfahrt kaum Neues, wenn ihr ihn sähet und bereits in die sicherheitstheoretische Informatik eingearbeitet habt.
toolz schrieb:
Doch, eben genau darum ging es - zumindest manchen hier. Und wem nützt es denn bitte sehr etwas, wenn es heißt:
Ich weiß, dass jetzt wieder viele von euch Dinge interpretieren werden, dich ich niemals ausdrücken wollte, aber ich möchte nur noch auf eines Hinweisen: Wenn ich in diesem Beitrag vom Quelltext gesprochen habe, so meinte ich immer den Sicherheitsrelevanten - Also den Serverseitigen. Warum auch immer hier eine hitzige Diskussion über das UI entstanden ist... darum ging es doch nie.
"Ich habe einen ganz tollen Quelltext, aber zeige euch ihn nicht - ätschibätschi!
" ?
toolz schrieb:
Glaube mir, den gibt es sicherlich - auch wenn ich mich damit nicht sonderlich auskenne.
Noch immer kam kein Vorschlag, wie man an die php-Dateien hätte kommen können, um zumindest einen Ansatz zum Hacken zu bekommen.
Aber Du bekommst ihn nicht!
toolz schrieb:
Vergesst doch für einen Moment eure Vorbehalte und akzeptiert, dass es mir N I E um die Oberfläche, also das JS ging, da es keinen Aufschluss über das System geben K A N N.
Bist Du sicher, dass es den Mitlesenden denn "nur" darauf ankam?
Schau mal:
Z.B. respektiere ich Deine Künste. Und ich denke, damit bin ich hier nicht alleine.
Aber wie empfindest Du es denn so, wenn es so von "oben herab" kommt:
"Zeigt mir, was ihr könnt, denn ich zeige euch gar nix"?
Oder:
"Ich bin bereits zu einigen professionellen Informatikern ... gegangen" ..!
Diese Aussage liest sich so, dass es hier gar keine "professionellen Informatiker" gibt.
So arrogant muss es doch nicht wirklich zugehen, oder? ;)
Ich denke, dass eben genau das auch der Grund widerspenstiger Antworten auf deine z.T. seltsamen Formulierungen ist.
Aber das sind alles nur Vermutungen.
Beitrag zuletzt geändert: 13.9.2012 19:14:37 von menschle -
da will ich mich auch noch zu äußern:
professionell ist, wenn du dahergehst und dir mit C++ zum beispiel deinen eigenen webserver schreibst und deine programmlogic und was du da immer haben wolltest reincodest, sowie deine eigene datenbankanbindung schreibst und entsprechend abkapselst...
PHP ist nunmal nur eine scriptsprache, die sich der bugs und schwachstellen von apache oder anderen php-fähigen webservern bedient...
ansonsten kann ich mich menschles Post zu 100% anschließen...
was sind für dich "professionellen Informatikern"? der telekomtechniker, der ohne bunte anleitung seinen schaltkasten nicht gescheit geschaltet bekommt? der Mediamarkt-PC verkäufer?
auch in der Informatik gibt es sowas wie seriöse berufsbezeichnungen... wie Anwendungsentwickler, Systementwickler, Webentwickler, [irgendwas]entwickler, Integratoren, administratoren... jeder hat ein anderes Fachgebiet... da ist eine angabe des fachgebiets hilfreich... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
