Toyota Supra - Forum  

Zurück   Toyota Supra - Forum > Der letzte Rest > Kritik & Anregungen
Seite neu laden Tapatalk Implementation
Registrieren Hilfe Benutzerliste Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren

Umfrageergebnis anzeigen: Tapatalk für das Forum
Ja 17 44,74%
Nein 11 28,95%
Is mir egal 10 26,32%
Teilnehmer: 38. Du darfst bei dieser Umfrage nicht abstimmen

Antwort
 
Themen-Optionen Ansicht
Alt 05.02.2012, 16:14   #1
suprafan
Captain Slow
 
Benutzerbild von suprafan
 
Registriert seit: Feb 2003
Ort: Bodensee (D)
Beiträge: 10.060
iTrader-Bewertung: (18)
suprafan wird schon bald berühmt werden
AW: Tapatalk Implementation
Sorry, aber ich hole das Thema nochmal hoch...

Zitat:
Zitat von Nexuid Beitrag anzeigen
Mehr als das sich einer der was zum "sagen" hat sich meldet wollt ich nicht
Das hatte ich ja schon getan, aber es schien ja trotzdem nicht recht zu sein.

Zitat:
Zitat von Nexuid Beitrag anzeigen
Meistens wenn ein Satz schon mit: "Eigentlich muss ich mich hier ja nicht rechtfertigen" beginnt hab ich die Erfahrung gemacht das da eigendlich nur ein: "Scher dich zum Teufel, du nervst und ich will nicht, egal was du sagts" steckt
Ich gebe zu, dass das unglücklich ausgedrückt war. Aber ich hatte das Gefühl, dass du meine Erläuterungen einfach nicht verstehen wolltest.
Sonst hättest du gemerkt, dass ich die SQL-Injection-Lücke nur als Beispiel genannt und als Indikator für die Vertrauenswürdigkeit der Entwickler herangezogen hatte. Dass diese spezielle Lücke inzwischen geschlossen ist, spielt dabei keine Rolle.

Aber weil ich nicht ungerecht sein will, habe ich mir jetzt mal die aktuelle Version des Tapatalk-Plugins für unsere Forums-Software von der Tapatalk-Homepage runtergeladen und den Quelltext mal stichprobenartig angeschaut. Prompt finde ich da (in der aktuellsten Version!) eine SQL-Injection-Lücke, und die ist noch dazu recht offensichtlich. Mittels einer Test-Installation konnte ich die Lücke tatsächlich verifizieren. Da wurde einfach "vergessen", einen Parameter, der vom User-Input 1:1 in einen SQL-Query weitergereicht wird, zu prüfen/sanitizen. Da hat der verantwortliche Entwickler entweder ganz übel gepennt oder aber keine Ahnung gehabt, was er da tut. Und ein (qualifiziertes) Code-Review bzw. Qualitätskontrolle gab's offenbar auch nicht, sonst wäre dieser offensichtliche Lapsus jemandem aufgefallen.
Die Entwickler habe ich vorhin per Mail über die Lücke benachrichtigt und warte noch auf Antwort.
Mag ja sein, dass die Entwickler schnell auf solche Meldungen reagieren, aber die Lücke dürfte schon einige Monate bis Jahre vorhanden gewesen sein.
Nach weiteren Lücken habe ich jetzt nicht gesucht, dafür fehlt mir leider die Zeit.
Ich mag gar nicht dran denken, dass diese Software angeblich tausendfach eingesetzt wird.

Das bestärkt mich jedenfalls in meiner Haltung: das Tapatalk-Plugin kommt mir so schnell nicht auf den Server.
__________________
Wer nichts weiß, muss alles glauben.
suprafan ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht
Hybrid-Darstellung Hybrid-Darstellung

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge anzufügen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 05:42 Uhr.

Kontakt - Toyota Supra Club - Datenschutzerklärung - Nach oben

Powered by vBulletin® Version 3.6.7 (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
2003-4ever by Boostaholic / Suprafan / Antibrain