Antworten: 17
Seite [1] |
|
Yoshi- Beginner Beiträge: 3 |
# Thema - 09.12.2010 um 20:58 Uhr
Darf man aufgrund eure netten Vergleich davon ausgehen das es keine XSS Lücke gibt, und die die man auf Anhieb findet eigentlich garnicht geht? Es ist übrigens sehr witzig, dass sie noch immer nicht gepatch ist obwohl ich sie schon vor Monaten meldete. Zuletzt editiert von Yoshi- am 09.12.2010 um 20:59 Uhr (1x Editiert)
|
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 1 - 09.12.2010 um 21:00 Uhr
es gibt derzeit keine bekannte. wenn dir etwas auffallen sollte meld es doch einfach, warum dieses getue? wir suchen beim vergleich auch laufend nach verbesserungsmöglichkeiten, um die unterschiede zu den anderen systemen genauer und besser abgrenzen zu können, also falls dir dazu etwas einfällt gerne her damit. ------------------ ClanSphere - professional clan care starts here |
Inaktiv |
|
Yoshi- Thread-Ersteller Beginner Beiträge: 3 |
# Antwort: 2 - 09.12.2010 um 21:05 Uhr
Less oben meinen edit. Javascript Links are not allowed Nennt sich übrigens tabulator |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 3 - 09.12.2010 um 21:13 Uhr
soweit mir bekannt sind javascript links nicht erlaubt. wo war der fehler denn gemeldet, hier im forum? ------------------ ClanSphere - professional clan care starts here |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 4 - 09.12.2010 um 21:13 Uhr
edit: ok danke ------------------ www.laszlokorte.de Zuletzt editiert von SCHIRI am 09.12.2010 um 21:15 Uhr (7x Editiert) |
Inaktiv |
|
Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 5 - 09.12.2010 um 21:17 Uhr
Ich spuere hier wieder ein WebSpell / ClanSphere flamewar... Die behauptung das ClanSphere keine XSS Lücke hat, kann ClanSphere ueberhaupt nicht machen, und das haben sie auch nicht gemacht.Das ist genau so ein unsinn wenn ein Virenscanner behaupten wurde das es 100% aller viren findet, oder das ein programm 100% keine sicherheitsluecken hat. Das ist schon von mathematischen aufwand unmoeglich um das zu 100% zu beweisen... Wenn man sagt das man eine "XSS protection" hat, will man sagen das man etwas extra eingebaut hat, das im normalfall schuetzen sollte fuer ein moeglichen XSS angriff... Zuletzt editiert von Mindcrime am 09.12.2010 um 21:18 Uhr (1x Editiert) |
Inaktiv |
|
Yoshi- Thread-Ersteller Beginner Beiträge: 3 |
# Antwort: 6 - 09.12.2010 um 21:18 Uhr
Dann verändere ich es eben so das auch was passiert. Javascript Links are not allowed Das ganze funktioniert dadurch das cs, bei jeder Url die ersten 10 Buchstaben überprüft, wenn diese gleich = javascript sind, kommt ein Fehler. Dadurch das ich ein Tab voranstelle, sind die ersten 10 Buchstaben [TAB]javascrip, es gibt keinen Fehler. Aber da der Browser den Tab ignoriert, kann man js benutzen. ^Aber zusagen, dass alle anderen schlechter sind, obwohl cs die gröberen Lücken aufweißt ist nicht wirklich besser. Zuletzt editiert von Yoshi- am 09.12.2010 um 21:20 Uhr (2x Editiert) |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 7 - 09.12.2010 um 21:28 Uhr
wir beheben hier wenigstens laufend die bekannt werdenden probleme, siehe auch jetzt ansonsten wie mindcrime schon sagt, wir haben diverse schutz mechanismen eingebaut und versuchen dies bestmöglich zu verhindern, dass so etwas möglich ist ------------------ ClanSphere - professional clan care starts here |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 8 - 09.12.2010 um 21:29 Uhr
Vielen Dank für den Hinweis. Ist im SVN und hier auf der Seite nun gefixt. Dafür für euch jetzt auch n Hinweis, damit ihrs fixen könnt Guckst du hier ------------------ www.laszlokorte.de |
Inaktiv |
|
Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 9 - 09.12.2010 um 21:31 Uhr
Troll alert... Yoshi-, wenn ich starten wurde, die anzahl von coding und sicherheitsfehler die ich damals in webspell 4.01.02 gefunden habe, hier auf zu schreiben, soviel platz gibts nicht in ein medium text feld von mysql um das hier zu posten... Und in 4.2.2a ist nur teilweise verbessert... Und ueber den code selber mal total zu schweigen, kaum eine so schlecht geschriebene und unuebersichtliche code gelesen wie webspell, da war phpnuke 6.5 aus 2004 noch besser zu lesen... |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 10 - 09.12.2010 um 21:37 Uhr
denke die vergleiche helfen hier nicht weiter, zumindest mich interessiert eher, wie man die systeme besser machen kann und nicht wo wer wie die nase voraus hat, dafür ist unser cms vergleich mehr als ausreichend ------------------ ClanSphere - professional clan care starts here Zuletzt editiert von hajo am 09.12.2010 um 21:37 Uhr (1x Editiert) |
Inaktiv |
|
Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 11 - 09.12.2010 um 22:27 Uhr
Bitte Javascript Links are not allowed testen vor das man das fixed... strtolower waehre hilfreich, nicht nur bei cs_abcode_url()... Zuletzt editiert von Mindcrime am 09.12.2010 um 22:30 Uhr (1x Editiert) |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 12 - 09.12.2010 um 22:36 Uhr
könnte aber ja sein, dass man z.b. großbuchstaben für eine suchmaske oder ähnliches in der url hat. was nun, wenn dies case sensitive andere ergebnisse liefert? auch wenn eigentlich urls an sich klein geschrieben sein sollten, greift mir das fast schon zu sehr dabei ein. ------------------ ClanSphere - professional clan care starts here |
Inaktiv |
|
Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 13 - 09.12.2010 um 22:59 Uhr
der 10-er anfang substring soll zu strtolower... nicht den ganzen url... besser waehre eh ein richtiger URI parser der den URL in segmente aufteilt wodurch man das benutzte protocol (javascript, http, https, ftp, irc, etc.) abfragen kann |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 14 - 09.12.2010 um 23:41 Uhr
strotolower ist jetzt auch drin. agree@mindcrime ------------------ www.laszlokorte.de |
Inaktiv |
|
Yoshi- Thread-Ersteller Beginner Beiträge: 3 |
# Antwort: 15 - 10.12.2010 um 17:32 Uhr
09.12.2010 um 21:31 Uhr - Mindcrime: Troll alert... Yoshi-, wenn ich starten wurde, die anzahl von coding und sicherheitsfehler die ich damals in webspell 4.01.02 gefunden habe, hier auf zu schreiben, soviel platz gibts nicht in ein medium text feld von mysql um das hier zu posten... Und in 4.2.2a ist nur teilweise verbessert... Und ueber den code selber mal total zu schweigen, kaum eine so schlecht geschriebene und unuebersichtliche code gelesen wie webspell, da war phpnuke 6.5 aus 2004 noch besser zu lesen... Hast du mal guten Code gesehen? Davon sind sowohl Webspell als auch dies hier, meileinweit entfernt. Ach und Webspells code ist vermutlich einfacher zulesen als cs möchtegern OOP. Dir ist übrigens schon bewusst, dass gerade du hier einen Flamewars startest? Und da 422 ja nur teilweise besser ist, kannst du ja gerne alles posten, was du findest. Teilweiser csrf(und nicht XSS)-Schutz wäre ein Punkt. |
Inaktiv |
|
Jam2 Highlander Beiträge: 3291 |
# Antwort: 16 - 10.12.2010 um 17:38 Uhr
Dir ist übrigens schon bewusst, dass gerade du hier einen Flamewars startest? Dir ist übrigens bewusst, dass du gerade Kindisch handelst und genauso bei einem Flamewar mitmachst? - close ------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota..... Edi: hö ? Jam2: nichts ist unmöglich! |
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 17 - 10.12.2010 um 18:22 Uhr
ich möchte noch kurz anmerken, dass clansphere mit oop überhaupt nichts zu tun hat und deshalb auch überhaupt nicht möchtegern oop sein kann. |
Inaktiv |
|
Dieses Thema wurde von duRiel geschlossen. |
|
Antworten: 17
Seite [1] |
Latest 5 Modules
Demo
Probiere ClanSphere aus und teste daran herum. Demo
Spenden
ClanSphere ist freie OpenSource Software.
Bitte unterstützt uns.
Spenden