Tapatalk Implementation

[Nexuid]

Wenn einer das Board schädigen/hacken will dann braucht er nicht Tapatalk da gibt es schon so, viele möglichkeiten

[Benjaminvegeta]

und wenn einer dein auto stehlen will gibt es auch schon viele möglichkeiten und trotzdem würdest du ihm kaum noch deinen Autoschlüssel ans Schlüsselloch hängen

[BAD_SUPRA]

facebook is auch nich so "reich" weils halt so viele penner gut finden, sondern weil facebook die ganzen daten an so viele leute wie möglich verkauft hat =)

[Nexuid]

Zitat:

Zitat von Benjaminvegeta

und wenn einer dein auto stehlen will gibt es auch schon viele möglichkeiten und trotzdem würdest du ihm kaum noch deinen Autoschlüssel ans Schlüsselloch hängen

Nö du vergleichst Äpfel mit Birnen, weil das ist Verleitung zum Diebstahl und da bekommst du auch noch ne Strafe dafür

Und das ist ein Forum über Autos und nicht (Youcansitonmy)Facebook

Wie auch immer, die möglichkeit mit SQL-Injektion zu hacken ist schon seit Dezember gefixed und die Updates lassen im Normalfall nicht lange auf sich warten

[Damon]

Zitat:

Zitat von Nexuid

Nö du vergleichst Äpfel mit Birnen, weil das ist Verleitung zum Diebstahl und da bekommst du auch noch ne Strafe dafür

Und das ist ein Forum über Autos und nicht (Youcansitonmy)Facebook

Wie auch immer, die möglichkeit mit SQL-Injektion zu hacken ist schon seit Dezember gefixed und die Updates lassen im Normalfall nicht lange auf sich warten

Na in gewisser Weise ist das doch auch Verleitung zum Diebstahl.

[suprafan]

Nexuid:

Eigentlich muss ich mich hier ja nicht rechtfertigen, aber zur Klarstellung meines Standpunktes:
1. es geht bzgl. IT-Sicherheit immer (auch bei vermeintlichen Kleinigkeiten) um eine Abwägung zwischen Benutzerwünschen und Sicherheit. Bei der Frage "Tapatalk ja oder nein" sehe ich deutlich zu wenig Interesse seitens der Forums-User, um irgendein noch so geringes Risiko einzugehen.
2. es geht bei IT-Sicherheit immer um Minimierung der Angriffsfläche. Je mehr Software auf einem Server läuft, desto höher ist die Wahrscheinlichkeit, dass irgendwo eine bislang unbekannte Lücke (oder ein Scheunentor) schlummert, das einem irgendwann Probleme bereitet.
3. es geht bei der Sicherheit nicht "nur" um das Forum und dessen Daten. Als Serverbetreiber hat man auch eine gewisse Verantwortung, seine Kiste nach bestem Wissen und Gewissen sauber zu halten, damit sie nicht etwa als SPAM-Schleuder oder für Phishing-Angriffe missbraucht wird. Manchem mag das egal sein, mir nicht.
4. es ging mir bei meinem Beispiel natürlich nicht konkret um diese eine bereits geschlossene Lücke, sondern um eine Einschätzung der Tapatalk-Software im Allgemeinen. Es gibt laut meiner kurzen Recherche mehrere bekannte Fälle von gekaperten Foren, in denen allem Anschein nach das Tapatalk-Plugin das Einfallstor war.

Solange also für die Integration von Tapatalk kein gewichtigerer Grund als "ich will aber" vorliegt, würde ich das gerne vermeiden.

[Nexuid]

Du du oder ich nichts "müssen" ist mir klar....

Immerhin ist das ja ein Forum was ja zum Diskutieren da ist...Soll ja kein Monolog werden

Mehr als das sich einer der was zum "sagen" hat sich meldet wollt ich nicht, was die anderen dazu sagen ist für mich nur pro forma, weil das letzte Wort hab ich in der Hinsicht sicher nicht

Und als Argument ab ich NIE "ich will aber" vorgebracht
Ich hab lediglich dein SQL Vorwand abgeschmettert

Und das mit der SQL Lücke hast du angeführt und ich dir dann gesagt das diese schon gefixed ist also will ich garnicht erst an deinen Recherche Fähigkeiten zweifeln, weil "allen anschein" und "warscheinlich" ist mir zu wage

Auf phpbb.com sind die Dev's von Tapatalk ziemlich aktiv und schreiben selber das sie sich im Normalfall binnen 24h um Sicherheitslücken kümmern.

Meistens wenn ein Satz schon mit: "Eigentlich muss ich mich hier ja nicht rechtfertigen" beginnt hab ich die Erfahrung gemacht das da eigendlich nur ein: "Scher dich zum Teufel, du nervst und ich will nicht, egal was du sagts" steckt

Ist angekommen und ich hab verstanden

Nexuid out

[Damon]

AMEN!!!

[Silent Deatz]

Zitat:

Zitat von Nexuid

Meistens wenn ein Satz schon mit: "Eigentlich muss ich mich hier ja nicht rechtfertigen" beginnt hab ich die Erfahrung gemacht das da eigendlich nur ein: "Scher dich zum Teufel, du nervst und ich will nicht, egal was du sagts" steckt

Ist angekommen und ich hab verstanden

Nexuid out

Sowas würde aber eher von anderen Usern kommen, ich schließe mich da stark ein!
Aber sicher nicht von Suprafan, er ist ja wohl einer der korrektesten Admins die ich kenne, habe schon viel schlimmeres erlebt.

Wollte das nur anmerken.

[Andreas Köster]

Zitat:

Zitat von Helter-Skelter

Klar wer den ganzen Tag im Büro sitzt, und zwei linke Hände für jegliche technischeSachen hat, der Braucht sicherlich kein Smartphone mit Internet Zugang.
Aber wenn du mindestens 12Stunden am Tag unterwegs bist, dann ist es schon was feines, in Leerlaufphasen mal schnell ins Netz zu gehen.
Zudem kann so ein Handtaschencomputer mehr wie nur Spam-Beitrage im Forum verfassen.

is ja schon interressant wat du so alles über mich weisst......

ich hab schon die ersten motoren zerlegt und wieder ans laufen bekommen,da bist du doch noch mit der rassel um nen tannenbaum gelaufen....

und meine kohle verdiene ich u.a. durchs inet,nur so am rande....

[BAD_SUPRA]

ihr seid alles wixxer!

schnauze jetzt

[supra_driver]

ich denke mit diesem super schlusswort von BAD sollte alles gesagt sein

[suprafan]

Sorry, aber ich hole das Thema nochmal hoch...

Zitat:

Zitat von Nexuid

Mehr als das sich einer der was zum "sagen" hat sich meldet wollt ich nicht

Das hatte ich ja schon getan, aber es schien ja trotzdem nicht recht zu sein.

Zitat:

Zitat von Nexuid

Meistens wenn ein Satz schon mit: "Eigentlich muss ich mich hier ja nicht rechtfertigen" beginnt hab ich die Erfahrung gemacht das da eigendlich nur ein: "Scher dich zum Teufel, du nervst und ich will nicht, egal was du sagts" steckt

Ich gebe zu, dass das unglücklich ausgedrückt war. Aber ich hatte das Gefühl, dass du meine Erläuterungen einfach nicht verstehen wolltest.
Sonst hättest du gemerkt, dass ich die SQL-Injection-Lücke nur als Beispiel genannt und als Indikator für die Vertrauenswürdigkeit der Entwickler herangezogen hatte. Dass diese spezielle Lücke inzwischen geschlossen ist, spielt dabei keine Rolle.

Aber weil ich nicht ungerecht sein will, habe ich mir jetzt mal die aktuelle Version des Tapatalk-Plugins für unsere Forums-Software von der Tapatalk-Homepage runtergeladen und den Quelltext mal stichprobenartig angeschaut. Prompt finde ich da (in der aktuellsten Version!) eine SQL-Injection-Lücke, und die ist noch dazu recht offensichtlich. Mittels einer Test-Installation konnte ich die Lücke tatsächlich verifizieren. Da wurde einfach "vergessen", einen Parameter, der vom User-Input 1:1 in einen SQL-Query weitergereicht wird, zu prüfen/sanitizen. Da hat der verantwortliche Entwickler entweder ganz übel gepennt oder aber keine Ahnung gehabt, was er da tut. Und ein (qualifiziertes) Code-Review bzw. Qualitätskontrolle gab's offenbar auch nicht, sonst wäre dieser offensichtliche Lapsus jemandem aufgefallen.
Die Entwickler habe ich vorhin per Mail über die Lücke benachrichtigt und warte noch auf Antwort.
Mag ja sein, dass die Entwickler schnell auf solche Meldungen reagieren, aber die Lücke dürfte schon einige Monate bis Jahre vorhanden gewesen sein.
Nach weiteren Lücken habe ich jetzt nicht gesucht, dafür fehlt mir leider die Zeit.
Ich mag gar nicht dran denken, dass diese Software angeblich tausendfach eingesetzt wird.

Das bestärkt mich jedenfalls in meiner Haltung: das Tapatalk-Plugin kommt mir so schnell nicht auf den Server.

[schokomanu]

Also mir gefällt Tappatalk sehr gut. Nutze es in anderen Foren naürlich auch. Seitdem ich Tappatalk habe, schaue ich natürlich (bei Suche nach einem neuen Forum) nach Tappatalk-Fähigkeit. Auf einem mobilen Gerät ist die Benutzung eines Forums mit Tappatalk einfach der Hit. Bilder hochladen leicht! Grade surfe ich mit reduzierter Handygeschwindigkeit (hab die Internetflat am Handy auf 1GB/Monat zurück geschraubt), und auch da kann ich mit Tappatalk noch sehr gut in den anderen Foren lesen. Über den Browser dauert das schon deutlich länger.

Ich nutze Tappatalk in 5 Foren. Ich würde mich natürlich auch freuen, hier Tappatalk zu haben.

[Andreas Köster]

Bist du nicht der, der den Turbo auf dem Abgaskrümmer dermaßen verkantet hat, dass du den Turbo nur mit viel mühe runterbekommen hast?

Nö