Memberliste -> Icq error

[Sunny]

Hallo geronimo,

ich denke dass Deine Aussage etwas unfair ist.

Software ist so sicher wie sie programmiert ist. Und prinzipiell ist gegen die Art der "unsicheren" Programmierung nichts einzuwenden. Wenn Du dich wirklich über was aufregen willst, dann über die vielen kranken Köpfe, die da draussen rumgeistern und nichts anderes zu tun haben, wie uns "friedliebenden" Software-Nutzern alles kaputt zu machen.

Diese Probleme kursieren doch schon durch das Internet seit es den ersten Computer "online" gibt. Egal, ob es sich dabei um Banken, Pentagon, Betriebssysteme oder was auch immer handelt.

Ich für meinen Fall, bin sehr dankbar, dass die sich hier die Mühe machen, die auftretenden Löcher zu stopfen und das Forum in seiner Art zu verbessern.

[chris]

ja aber ich verstehe es nicht, wenn das so ist, wenn 1.4.1 sooooooooo unsicher ist, wieso wurde dann überhaupt die 1.4.1 version programmiert??? wieso haben die programmierer damals vor ein paar monaten nicht begriffen dass 1.4.1 so unsicher ist

Weil wir nunmal dummerweise nicht allwissend sind... warum findet man dauernd neue Sicherheitslücken in Windows/Linux/etc. ? Softwareentwicklung ist ein Prozess den Menschen ausführen... Menschen machen Fehler... das war so, ist so, wird immer so sein...

So etwas wie fehlerfreien Code gibt es nicht. Im Schnitt rechnet man mit 1,5 Fehlern pro 100 Zeilen Code. 50% davon werden im Schnitt in der Beta-Phase eines Produktes gefunden und behoben... bleiben immernoch 7,5 Fehler pro 1000 Zeilen... ich weiss es nicht genau, aber YaBB SE hat momentan so um die 20000 Zeilen...

wieso haben die 1.4.1 damals nicht so programmiert wie 1.5.1 heute. waren die damals etwa dumm???

"dumm" sicherlich nicht... aber schonmal was davon gehört, dass Leute sich weiterentwickeln... lernen ?

Alle vom Dev-Team haben in den letzten Monaten einiges neues gelernt... ich hab mich z.B. massiv mit objektorientierter Programmierung unter PHP beschäftigt... wir alle haben einiges darüber gelernt wie Hacker arbeiten... etwas was wir vorher nicht wussten... etc.

wenn ja, dann sind sie es auch heute, denn sobald 1.6.1 rauskommt werdet ihr genauso über 1.5.1 reden wie ihr das jetzt über 1.4.1 tut.

Wohl kaum. 1.5.1 verhält sich zu 1.4.1 ungefähr so wie ein Stahltresor zu einer Pappschachtel... es sind einige Probleme aufgetaucht, die wir mittlerweile gelöst haben... in dem Zusammenhang habe ich z.B. noch min. 4 Sicherheitsprobleme behoben die vorher nicht bekannt waren... Björn hat auch noch was interessantes entdeckt... das sind alles Dinge gewesen die bisher noch nicht in Hacker-Kreisen offen verbreitet waren (und es zum Glück bis heute auch nicht sind)

1.5.1 schliesst alle diese Lücken... klar kann es sein, dass wir noch was übersehen haben (s.o.) aber ich würde die 1.5.1 jederzeit jeder vorherigen Version vorziehen....

Mit 1.5.1

• ist es nicht mehr möglich fremden Code über Packages.php einzuschleusen
  
• nicht mehr möglich über eine vergessene install.php einzudringen
  
• Admins dazu zu bringen Userprofile zu ändern die sie nicht ändern wollen
  
• SQL-Queries einzuschleusen geht nicht mehr
  
• uvm.

ich denke ihr wollte die leute nur dazu bringen auf 1.5.1 umzusteigen. denn die sicherheit von den foren von anderen leuten kann euch doch egal sein.

Klar, wir sind schliesslich verantwortungslose A*löcher  die der Meinung sind, dass die Leute die unsere Software einsetzen selbst Schuld sind (ja, das war sarkasmus)

[geronimo]

ok, ihr habt recht.

[Pitti]

moin zusammen,

also was ich hier lesen muß, ist ja mehr als frech. klar haben wir freie meinungsäußerung hier, aber so gehts nun auch nicht.

wozu bitte sollten die entwickler darauf drängen, das man nach der 15er die 16er nimmt, genauso wie nun nach der 14er die 15er?
wenn ich das richtig sehe ist das hier kein komerzielles projekt, das dir jedes jahr ne neue noch beschissenere kaffeemaschine aufschwatzen möchte. hier machen sich leute einen kopf, wie man verschiedene probleme lösen kann und es dem anwender so leicht wie möglich macht diese software einzusetzen. selbst für dinge die sich durch die updateautomatismen nicht lösen lassen, findet sich hier im forum immer einer mit ner lösung.

was willst du denn eigentlich mehr geronimo? an anderer stelle bezahlst du für solche leistungen und das nicht zu knap.

@christian, ich glaube nicht das es nötig ist, sich für alte mitlerweile behobene fehler zu entschuldigen. ihr macht das schon prima hier.

den anderen schlaumeiern hier sein nur mal angeraten: lest mal den code nur durch, an einem stück, da wird euch vieleicht klar, wieviel arbeit und brainschmalz nötig sind, sowas zu schreiben.

einen schönen gruß sagt
der Pitti

[Sunny]

*so was von vollzustimm!!!!*

[Daniel D.]

Geronimo: Wenn Chris sagt 10 sek. dann meint er auch 10 sek. Soll ich es auch probieren ? Es geht wirklich.

[Pitti]

jep, dann erzähl ich mal ne kleine geschichte ausm leben:

ichse also die tage für nen kumpel die sicherheit seines servers getestet. mir war dazu nur die url bekannt.

- geh ich also drauf und was seh ich, nen yabb14.
- fix meinen webserver angeschmissen, den mit verbogener packer
- link eingegeben,
- da kommen mir doch glat die dbinfos aus der settings rübergeflogen,
- na was sehn meine müden augen denn da: der admin dort hat seinen leuten den dbnutzer root zugewiesen.
da hatte ich zum fernzugriff auf die db gleich garkeine lust mehr und hab mich gleich per ssh als eingeloggt (rootpw war dasselbe wie bei der db)

naja, weiter brauch ich wohl nicht berichten....

wobei das hier zugegebenermaßen ein extremes beispiel von leichtsinn war, oder soll ich lieber sagen dummheit.

da der pitti ja aber ein lieber kobold ist, habsch dem root dort nur ne feine textinfo gepostet mitn paar hinweisen.

ende der geschichte

gruß pitti