Demo

Probiere ClanSphere aus und teste daran herum. Demo


Antworten: 17
Seite [1]
Yoshi-


Beginner




Beiträge: 3
# Thema - 09.12.2010 um 20:58 Uhr
Darf man aufgrund eure netten Vergleich davon ausgehen das es keine XSS Lücke gibt, und die die man auf Anhieb findet eigentlich garnicht geht?

Es ist übrigens sehr witzig, dass sie noch immer nicht gepatch ist obwohl ich sie schon vor Monaten meldete.


Zuletzt editiert von Yoshi- am 09.12.2010 um 20:59 Uhr (1x Editiert)
Inaktiv
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 1 - 09.12.2010 um 21:00 Uhr
es gibt derzeit keine bekannte. wenn dir etwas auffallen sollte meld es doch einfach, warum dieses getue?

wir suchen beim vergleich auch laufend nach verbesserungsmöglichkeiten, um die unterschiede zu den anderen systemen genauer und besser abgrenzen zu können, also falls dir dazu etwas einfällt gerne her damit.


------------------
ClanSphere - professional clan care starts here

Offline
|
Yoshi-
Thread-Ersteller


Beginner




Beiträge: 3
# Antwort: 2 - 09.12.2010 um 21:05 Uhr
Less oben meinen edit.
Javascript Links are not allowed

Nennt sich übrigens tabulator


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 3 - 09.12.2010 um 21:13 Uhr
soweit mir bekannt sind javascript links nicht erlaubt. wo war der fehler denn gemeldet, hier im forum?


------------------
ClanSphere - professional clan care starts here

Offline
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 4 - 09.12.2010 um 21:13 Uhr
edit: ok danke


------------------
www.laszlokorte.de

Zuletzt editiert von SCHIRI ClanSphere Team am 09.12.2010 um 21:15 Uhr (7x Editiert)
Inaktiv
|
Mindcrime


Geekboy





Beiträge: 1155
# Antwort: 5 - 09.12.2010 um 21:17 Uhr
Ich spuere hier wieder ein WebSpell / ClanSphere flamewar...

Die behauptung das ClanSphere
keine XSS Lücke
hat, kann ClanSphere ueberhaupt nicht machen, und das haben sie auch nicht gemacht.

Das ist genau so ein unsinn wenn ein Virenscanner behaupten wurde das es 100% aller viren findet, oder das ein programm 100% keine sicherheitsluecken hat. Das ist schon von mathematischen aufwand unmoeglich um das zu 100% zu beweisen...

Wenn man sagt das man eine "XSS protection" hat, will man sagen das man etwas extra eingebaut hat, das im normalfall schuetzen sollte fuer ein moeglichen XSS angriff...


Zuletzt editiert von Mindcrime am 09.12.2010 um 21:18 Uhr (1x Editiert)
Inaktiv
|
Yoshi-
Thread-Ersteller


Beginner




Beiträge: 3
# Antwort: 6 - 09.12.2010 um 21:18 Uhr
Dann verändere ich es eben so das auch was passiert.

Javascript Links are not allowed

Das ganze funktioniert dadurch das cs, bei jeder Url die ersten 10 Buchstaben überprüft, wenn diese gleich = javascript sind, kommt ein Fehler.

Dadurch das ich ein Tab voranstelle, sind die ersten 10 Buchstaben [TAB]javascrip, es gibt keinen Fehler.
Aber da der Browser den Tab ignoriert, kann man js benutzen.

^Aber zusagen, dass alle anderen schlechter sind, obwohl cs die gröberen Lücken aufweißt ist nicht wirklich besser.


Zuletzt editiert von Yoshi- am 09.12.2010 um 21:20 Uhr (2x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 7 - 09.12.2010 um 21:28 Uhr
wir beheben hier wenigstens laufend die bekannt werdenden probleme, siehe auch jetzt

ansonsten wie mindcrime schon sagt, wir haben diverse schutz mechanismen eingebaut und versuchen dies bestmöglich zu verhindern, dass so etwas möglich ist


------------------
ClanSphere - professional clan care starts here

Offline
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 8 - 09.12.2010 um 21:29 Uhr
Vielen Dank für den Hinweis. Ist im SVN und hier auf der Seite nun gefixt.

Dafür für euch jetzt auch n Hinweis, damit ihrs fixen könnt
Guckst du hier


------------------
www.laszlokorte.de

Inaktiv
|
Mindcrime


Geekboy





Beiträge: 1155
# Antwort: 9 - 09.12.2010 um 21:31 Uhr
Troll alert...

Yoshi-, wenn ich starten wurde, die anzahl von coding und sicherheitsfehler die ich damals in webspell 4.01.02 gefunden habe, hier auf zu schreiben, soviel platz gibts nicht in ein medium text feld von mysql um das hier zu posten... Und in 4.2.2a ist nur teilweise verbessert...

Und ueber den code selber mal total zu schweigen, kaum eine so schlecht geschriebene und unuebersichtliche code gelesen wie webspell, da war phpnuke 6.5 aus 2004 noch besser zu lesen...


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 10 - 09.12.2010 um 21:37 Uhr
denke die vergleiche helfen hier nicht weiter, zumindest mich interessiert eher, wie man die systeme besser machen kann und nicht wo wer wie die nase voraus hat, dafür ist unser cms vergleich mehr als ausreichend


------------------
ClanSphere - professional clan care starts here

Zuletzt editiert von hajo ClanSphere Team am 09.12.2010 um 21:37 Uhr (1x Editiert)
Offline
|
Mindcrime


Geekboy





Beiträge: 1155
# Antwort: 11 - 09.12.2010 um 22:27 Uhr
Bitte Javascript Links are not allowed testen vor das man das fixed... strtolower waehre hilfreich, nicht nur bei cs_abcode_url()...


Zuletzt editiert von Mindcrime am 09.12.2010 um 22:30 Uhr (1x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 12 - 09.12.2010 um 22:36 Uhr
könnte aber ja sein, dass man z.b. großbuchstaben für eine suchmaske oder ähnliches in der url hat. was nun, wenn dies case sensitive andere ergebnisse liefert? auch wenn eigentlich urls an sich klein geschrieben sein sollten, greift mir das fast schon zu sehr dabei ein.


------------------
ClanSphere - professional clan care starts here

Offline
|
Mindcrime


Geekboy





Beiträge: 1155
# Antwort: 13 - 09.12.2010 um 22:59 Uhr
der 10-er anfang substring soll zu strtolower... nicht den ganzen url... besser waehre eh ein richtiger URI parser der den URL in segmente aufteilt wodurch man das benutzte protocol (javascript, http, https, ftp, irc, etc.) abfragen kann


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 14 - 09.12.2010 um 23:41 Uhr
strotolower ist jetzt auch drin.

agree@mindcrime


------------------
www.laszlokorte.de

Inaktiv
|
Yoshi-
Thread-Ersteller


Beginner




Beiträge: 3
# Antwort: 15 - 10.12.2010 um 17:32 Uhr
09.12.2010 um 21:31 Uhr - Mindcrime:
Troll alert...

Yoshi-, wenn ich starten wurde, die anzahl von coding und sicherheitsfehler die ich damals in webspell 4.01.02 gefunden habe, hier auf zu schreiben, soviel platz gibts nicht in ein medium text feld von mysql um das hier zu posten... Und in 4.2.2a ist nur teilweise verbessert...

Und ueber den code selber mal total zu schweigen, kaum eine so schlecht geschriebene und unuebersichtliche code gelesen wie webspell, da war phpnuke 6.5 aus 2004 noch besser zu lesen...


Hast du mal guten Code gesehen?
Davon sind sowohl Webspell als auch dies hier, meileinweit entfernt. Ach und Webspells code ist vermutlich einfacher zulesen als cs möchtegern OOP.
Dir ist übrigens schon bewusst, dass gerade du hier einen Flamewars startest?

Und da 422 ja nur teilweise besser ist, kannst du ja gerne alles posten, was du findest.

Teilweiser csrf(und nicht XSS)-Schutz wäre ein Punkt.


Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 16 - 10.12.2010 um 17:38 Uhr
Dir ist übrigens schon bewusst, dass gerade du hier einen Flamewars startest?


Dir ist übrigens bewusst, dass du gerade Kindisch handelst und genauso bei einem Flamewar mitmachst?

- close


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 17 - 10.12.2010 um 18:22 Uhr
ich möchte noch kurz anmerken, dass clansphere mit oop überhaupt nichts zu tun hat und deshalb auch überhaupt nicht möchtegern oop sein kann.


Inaktiv
|

Dieses Thema wurde von duRiel ClanSphere Team PM geschlossen.

Antworten: 17
Seite [1]