Thema: Tapatalk Implementation
Einzelnen Beitrag anzeigen
Alt 05.02.2012, 16:14   #43
suprafan
Captain Slow
 
Benutzerbild von suprafan
 
Registriert seit: Feb 2003
Ort: Bodensee (D)
Beiträge: 10.060
iTrader-Bewertung: (18)
suprafan wird schon bald berühmt werden
AW: Tapatalk Implementation
Sorry, aber ich hole das Thema nochmal hoch...

Zitat:
Zitat von Nexuid Beitrag anzeigen
Mehr als das sich einer der was zum "sagen" hat sich meldet wollt ich nicht
Das hatte ich ja schon getan, aber es schien ja trotzdem nicht recht zu sein.

Zitat:
Zitat von Nexuid Beitrag anzeigen
Meistens wenn ein Satz schon mit: "Eigentlich muss ich mich hier ja nicht rechtfertigen" beginnt hab ich die Erfahrung gemacht das da eigendlich nur ein: "Scher dich zum Teufel, du nervst und ich will nicht, egal was du sagts" steckt
Ich gebe zu, dass das unglücklich ausgedrückt war. Aber ich hatte das Gefühl, dass du meine Erläuterungen einfach nicht verstehen wolltest.
Sonst hättest du gemerkt, dass ich die SQL-Injection-Lücke nur als Beispiel genannt und als Indikator für die Vertrauenswürdigkeit der Entwickler herangezogen hatte. Dass diese spezielle Lücke inzwischen geschlossen ist, spielt dabei keine Rolle.

Aber weil ich nicht ungerecht sein will, habe ich mir jetzt mal die aktuelle Version des Tapatalk-Plugins für unsere Forums-Software von der Tapatalk-Homepage runtergeladen und den Quelltext mal stichprobenartig angeschaut. Prompt finde ich da (in der aktuellsten Version!) eine SQL-Injection-Lücke, und die ist noch dazu recht offensichtlich. Mittels einer Test-Installation konnte ich die Lücke tatsächlich verifizieren. Da wurde einfach "vergessen", einen Parameter, der vom User-Input 1:1 in einen SQL-Query weitergereicht wird, zu prüfen/sanitizen. Da hat der verantwortliche Entwickler entweder ganz übel gepennt oder aber keine Ahnung gehabt, was er da tut. Und ein (qualifiziertes) Code-Review bzw. Qualitätskontrolle gab's offenbar auch nicht, sonst wäre dieser offensichtliche Lapsus jemandem aufgefallen.
Die Entwickler habe ich vorhin per Mail über die Lücke benachrichtigt und warte noch auf Antwort.
Mag ja sein, dass die Entwickler schnell auf solche Meldungen reagieren, aber die Lücke dürfte schon einige Monate bis Jahre vorhanden gewesen sein.
Nach weiteren Lücken habe ich jetzt nicht gesucht, dafür fehlt mir leider die Zeit.
Ich mag gar nicht dran denken, dass diese Software angeblich tausendfach eingesetzt wird.

Das bestärkt mich jedenfalls in meiner Haltung: das Tapatalk-Plugin kommt mir so schnell nicht auf den Server.
__________________
Wer nichts weiß, muss alles glauben.
suprafan ist offline   Mit Zitat antworten