1. Foren
  2. Kommentare
  3. Software-Entwicklung-Forum
  4. Alle Kommentare zum Artikel
  5. › PHP 5.2.7 wegen…

Wo ist daran das Sicherheitsproblem?

  1. Thema

Neues Thema


  1. Wo ist daran das Sicherheitsproblem?

    Autor: rhsoft 08.12.08 - 13:46

    Und wo soll das Sicherheitsproblem sein wenn eine sinnlose Option die in zukünftigen Releases endlich wegfällt nicht funktioniert?

    Wer glaubt mit addslashes() opder magic_quotes Eingaben sicher zu machen glaubt wohl auch noch an den Weihnachtsmann!

    Nur die Escape-Funktionenn der DB-Client-Library sind in der Lage SICHER zu escapen und genau dann bringen die magci_quotes nichts als Ärger mit Backslashes die willkürlich auftauchen und erst mit stripslahses() wegzuräuen sind um eine bekannte Ausgangsbasis für die weitere Verarbeitung zu haben.

    Einzig Anwendungen von völligen Vollidioten brauchen das um sie halbwegs sauber laufen zu lassen.

  2. Re: Wo ist daran das Sicherheitsproblem?

    Autor: Yo 08.12.08 - 13:58

    Wahre Worte.

  3. Re: Wo ist daran das Sicherheitsproblem?

    Autor: Frickeln ade 08.12.08 - 14:16

    Was du schreibst ist sicher richtig, aber gerade aus dieser Tatsache heraus, dass der Dreckscode absolut unsicher ist ohne diese Erweiterung, daraus entsteht die Sicherheitsluecke. Schluessig ist das schon.

  4. Re: Wo ist daran das Sicherheitsproblem?

    Autor: Angst 08.12.08 - 17:56

    Schade nur, wenn der halbdebile sich dafür aber für einen IT-Profi haltende 14jährige Sohn des Chefs eine Software eingeführt hat, die diesen Blödsinn benötigt. Und Du als

    -- Systembetreuer
    -- Webmaster
    -- Sysadmin
    -- Netzwerkadministrator
    -- BeliebigesITProfilSchlagwort

    sagst dann Deinem Chef, dass das die Software scheiße ist?

    Ja, klar!

    In Liebe,
    Angst

  5. Re: Wo ist daran das Sicherheitsproblem?

    Autor: Bischen Rückgrat bitte 08.12.08 - 19:48

    Jo, das sagst du dem Chef dann; wenn auch nicht grade in so drastischen Worten.

    Wer das nicht tut, handelt du in meinen Augen fahrlässig, und hat die Bezeichnung Systembetreuer/Sysadmin/Netzwerkadministrator nicht verdient.

    Webmaster lassen wir hierbei außen vor, bei denen hat´s sowieso net zum Vollzeit-ITler gereicht.

  6. Re: Wo ist daran das Sicherheitsproblem?

    Autor: rhsoft 08.12.08 - 22:34

    > Schade nur, wenn der halbdebile sich dafür aber für einen IT-Profi haltende > 14jährige Sohn des Chefs eine Software eingeführt hat

    In welcher Drecksbude arbeitest du?

    > die diesen Blödsinn benötigt.

    Dann wäre sie seit 5 Jahren hier nicht lauffähig

    > Und Du als
    > -- Systembetreuer
    > -- Webmaster
    > -- Sysadmin
    > -- Netzwerkadministrator
    > -- BeliebigesITProfilSchlagwort
    > sagst dann Deinem Chef, dass das die Software scheiße ist?

    Natürlich und zwar weil ich dafür bezahlt werde mich darum zu kümmern dass die Unternehmesserver sauber und sicher konfiguriert sind und magic_quotes deswegen seit 5 Jahren ausgeschaltet sind so wie register_globals und sonstiger Wahnsinn wie exec, pasthru etc., wenn der Chef meint es besser zu wissen soll er sich slebst draum kümmern oder sich einen anderen suchen -> Tut er aber nicht!

    Das Problem ist meistens nicht die Software sondern Techniker ohne Eier in der Hose die jeden Dreck laufen lassen nur weil irgendjemand angelaufen kommt. Solange ich die VARNTWORTUNG für den ganzen Wahnsinn trage treffe auch ich die Entscheidungen und Vorgaben und zwar ausschliesslich.

    Warum?
    Weil die Kisten hier genau deswegen seit Jahren schnell und sicher laufen und die Umstellung auf PHP5/MySQL5 mit Deaktivierung VON ALLEM was als deprecated geführt wird vor 3 Jahren eine Sache von 5 Minuten war und keine einzige Anwendung hatte damit ein Problem - Geht halt nur so wenn man nicht jeden Dreck installiert egal wie mies er gemacht ist und für jedes letztklassige Skript deswegen irgendwelche Kompromisse eingeht.

  7. Realitycheck

    Autor: Angst 09.12.08 - 11:03

    Bischen Rückgrat bitte schrieb:
    -------------------------------------------------------
    > Jo, das sagst du dem Chef dann; wenn auch nicht
    > grade in so drastischen Worten.
    >
    > Wer das nicht tut, handelt du in meinen Augen
    > fahrlässig, und hat die Bezeichnung
    > Systembetreuer/Sysadmin/Netzwerkadministrator
    > nicht verdient.

    Realitycheck: In einer gewachsenen IT-Landschaft - und sei es nur 5-Arbeitsplatz-System mit Intranet - dem Chef beibringen, dass er mehr Zeit und Geld investieren soll, OHNE das sich für ihn zunächst etwas ändert ... na viel Spaß.

    Realitycheck 2: In der momentanen Wirtschafts-Situation - egal ob die konkrete Firma nun direkt betroffen ist oder nicht - sind erst einmal ALLE vorsichtig, die Geld ausgeben müssen. Auch hier viel Spaß mit den Argumenten.

    Ich erwarte von sogenannten "Entscheidern" keine strategischen Entscheidungen mehr. Es geht immer nur noch um kurzfristigstes Taktieren. Und dabei kommen immer nur die billigen dafür aber falschen Entscheidungen heraus. Bisher nix anderes kennen gelernt.

    Und ganz ehrlich: Wenn der Chef dann noch cholerisch veranlagt ist, dann bin ICH wirklich HEILFROH, dass es noch so etwas wie "magic_quotes_gpc" gibt, dass ich einfach aktivieren kann.

    Dass ich mich dann irgendwann auf die Suche nach einem neuen Job mache - weil es langsam nervt - und sogar machen muss - weil die Firma durch konstante Fehlentscheidungen nicht nur in der IT pleite gegangen ist - ist auch klar ...

    In Liebe,
    Angst

  8. Re: Wo ist daran das Sicherheitsproblem?

    Autor: Angst 09.12.08 - 11:22

    rhsoft schrieb:
    -------------------------------------------------------
    > > Schade nur, wenn der halbdebile sich dafür
    > aber für einen IT-Profi haltende > 14jährige
    > Sohn des Chefs eine Software eingeführt hat
    >
    > In welcher Drecksbude arbeitest du?

    Vermutlich in einer besseren als Du, weil ich nämlich SEHR GUT bezahlt werde. Und der STAND auf meinem Konto beruhigt mich so sehr, dass NICHT ICH derjenige bin, der sich in einem IT-Forum virtuell den Frust von der Leber posten muss.

    > > die diesen Blödsinn benötigt.
    >
    > Dann wäre sie seit 5 Jahren hier nicht lauffähig

    Sinke auf die Knie und danke mit innigsten ernst gemeinten Worten dem lieben Gott, dass Du in einer anscheinend weitsichten Firma arbeiten darfst. Das ist nämlich NICHT die Regel.

    >
    > > Und Du als
    > -- Systembetreuer
    > --
    > Webmaster
    > -- Sysadmin
    > --
    > Netzwerkadministrator
    > --
    > BeliebigesITProfilSchlagwort
    > sagst dann
    > Deinem Chef, dass das die Software scheiße ist?
    >
    > Natürlich und zwar weil ich dafür bezahlt werde
    > mich darum zu kümmern dass die Unternehmesserver
    > sauber und sicher konfiguriert sind und
    > magic_quotes deswegen seit 5 Jahren ausgeschaltet
    > sind so wie register_globals und sonstiger
    > Wahnsinn wie exec, pasthru etc., wenn der Chef
    > meint es besser zu wissen soll er sich slebst
    > draum kümmern oder sich einen anderen suchen ->
    > Tut er aber nicht!

    Normalerweise wird man dafür bezahlt, dass der Unternehmensserver überhaupt erst einmal läuft. Das mit der "sauberen Konfiguration" verstehen "Entscheider" meistens schon nicht mehr, weil es nämlich meistens mehr Investition bedeutet und damit weniger Firmengewinn. Wenn das bei Dir anders ist: siehe oben (sinke auf die Knie...).

    Allerdings hast Du Recht: Ich kenne in meinem Umfeld viele sogenannte IT-Profis, die in entscheidenden Situation auch nicht den Mund aufbekommen. In der momentanen Situation der heiß gesuchten IT-Fachkräfte darf man ruhig schon einmal auf sein Know-How pochen.

    > Das Problem ist meistens nicht die Software
    > sondern Techniker ohne Eier in der Hose die jeden
    > Dreck laufen lassen nur weil irgendjemand
    > angelaufen kommt. Solange ich die VARNTWORTUNG für
    > den ganzen Wahnsinn trage treffe auch ich die
    > Entscheidungen und Vorgaben und zwar
    > ausschliesslich.

    Du hast die VERANTWORTUNG nur dann, wenn Du auch echte Veto-Befugnisse hast. Das heißt, Du darfst in gewissen Situationen Deinem Chef auch mal etwas sagen. Genau das ist meistens aber nicht der Fall, so dass sich Deine schöne "Verantwortung" auf etwas Tonerschwärze auf einem Schrieb mit dem Wort "Job Description" und der Beschreibung in Deinem Arbeitsvertrag reduziert. Und das kannst Du Dir dann gleich dort hinschieben, wo ewige Dunkelheit herrscht. Weil Du in dem Fall nämlich nur dann Verantwortung hast, wenn etwas schief gegangen ist und jemand gesucht wird, der den Kopf hinhalten darf.

    Echte Verantwortung hat man in den meisten (deutschen) Firman nur dann, wenn entweder Dein Chef auch auf Dich hört und Dir vertraut - genau davon ging ich in meinem Beispiel nicht aus - oder Du über eigene Mitarbeiter und ein eigenes Budget verfügst.

    > Warum?
    > Weil die Kisten hier genau deswegen seit Jahren
    > schnell und sicher laufen und die Umstellung auf
    > PHP5/MySQL5 mit Deaktivierung VON ALLEM was als
    > deprecated geführt wird vor 3 Jahren eine Sache
    > von 5 Minuten war und keine einzige Anwendung
    > hatte damit ein Problem - Geht halt nur so wenn
    > man nicht jeden Dreck installiert egal wie mies er
    > gemacht ist und für jedes letztklassige Skript
    > deswegen irgendwelche Kompromisse eingeht.

    Dagegen gibt es nichts zu sagen. Ich verweise nochmals auf meinem "Kniefall"-Absatz weiter oben. Freu Dich! Wirklich! Das ist NICHT der Normalfall in der Industrie.

    In Liebe,
    Angst

  9. Re: Wo ist daran das Sicherheitsproblem?

    Autor: rhsoft 09.12.08 - 15:47

    > Echte Verantwortung hat man in den meisten (deutschen) Firman nur dann,
    > wenn entweder Dein Chef auch auf Dich hört und Dir vertraut

    Wofür entsprechendes KnowHow und die dazu gehörige Kommunikation was denn in der Firma so tut von dem keiner was merkt weil es eben immer tut nötig ist. Natürlich habe ich ein Veto-Recht oder wie auch immer du die wörtliche Aussage "Mach was du für richtig hältst" nennen willst.

    Ob das in anderen Firmen auch so ist geht mir hinten vorbei
    Gerade in Zeiten wie diesen werden wir über die kurzfristigen Entscheidungen irgendwelcher Managment-Deppen die keine saubere Infrastruktur ertragen können lachen.

  10. Re: Wo ist daran das Sicherheitsproblem?

    Autor: Angst 09.12.08 - 17:08

    rhsoft schrieb:
    -------------------------------------------------------
    > Gerade in Zeiten wie diesen werden wir über die
    > kurzfristigen Entscheidungen irgendwelcher
    > Managment-Deppen die keine saubere Infrastruktur
    > ertragen können lachen.

    DAS kann ich nun wieder voll unterschreiben! :-)

    In Liebe,
    Angst

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin am Lehrstuhl für Software ... (m/w/d)
    Universität Passau, Passau
  2. Netzwerkadministrator:in IT- und Netzwerksicherheit (m/w/d)
    Helmholtz-Zentrum Potsdam Deutsches GeoForschungsZentrum GFZ, Potsdam
  3. Mitarbeiter:in IT Netzwerk, Schwerpunkt Applikationssicherheit (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart, Köln, Spittal/Drau (Österreich), Linz (Österreich)
  4. Disponent (w|m|d) - optional zusätzlich mit Anwendersupport
    ADAC e.V., Groß-Gerau

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (bis 17.01.2024)
  2. u. a. Gigabyte B550 Gaming Mainboard für 107,90€ statt 145,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sparsity erklärt: Wie KI-Beschleuniger ihre Rechenleistung vervielfachen
Sparsity erklärt
Wie KI-Beschleuniger ihre Rechenleistung vervielfachen

Algorithmus des Monats Das Feature Sparsity verdoppelt bei Nvidia und AMD die Rechenleistung. Wir erklären, was es damit auf sich hat und warum es für KI interessant ist - obwohl es nicht neu ist.
Von Johannes Hiltscher

  1. Reed-Solomon-Codes Der Algorithmus, der kaputte Daten repariert
  2. Kalman-Filter Der Algorithmus, der Apollo zum Mond und zurück brachte
  3. Fourier-Transformation Der Algorithmus, den jeder benutzt und kaum einer versteht

iRobot Roomba Combo j9+: Ein Fall, den auch der Schmutzdetektiv nicht löst
iRobot Roomba Combo j9+
Ein Fall, den auch der Schmutzdetektiv nicht löst

Mit einer "Schmutzdetektiv"-Funktion will der iRobot noch bequemer reinigen als die vielen guten Alternativen. Im Test wiegt aber schwer, dass er eine wichtige Komfortfunktion vernachlässigt.
Ein Test von Berti Kolbow-Lehradt

  1. Speicherrekord Die erste 2-TByte-Micro-SD ist da - aber zu welchem Preis?
  2. 32 Gigabyte Mehr Arbeitsspeicher im Asus ROG Ally
  3. Analogcomputer Programmieren mit Reglern, Röhren und Steckern

Dune & Children of Dune: Zwei Miniserien für die ersten drei Wüstenplanet-Romane
Dune & Children of Dune
Zwei Miniserien für die ersten drei Wüstenplanet-Romane

Vor 20 Jahren gab es bereits eine Fortsetzung von Dune. Wer nicht auf Villeneuves nächste Filme warten will, kann jetzt zum Wüstenplaneten aufbrechen.
Von Peter Osteried

  1. Titel für erstes Spin-off bekannt Dreharbeiten für Doctor-Who-Ableger starten im März
  2. Dune, Alien, Godzilla Die Science-Fiction-Höhepunkte des Jahres 2024
  3. Doctor Who Christmas Special eröffnet ein neues Mysterium