Antworten: 38
|
|
Mindcrime Geekboy Beiträge: 1155 |
# Thema - 27.03.2009 um 14:44 Uhr
Also, ich hab mal meine modifizierte 2008.2.1. version verglichen mit die 2009.x.x und ich kann nur ein ding sagen: Es ist einfach unmoeglich um einiger massen den code um zu setzen von 2008.2.1 zu 2009.x.x. ohne das alles kaput geht. Ihr habt soviel an die basis funktionen geaendert, das es nicht moeglich ist um die core dateien von 2009 (system/*) zu kopieren und das dan alle module noch irgendwie arbeiten... Ich haette gehofft das es einigermassen backwards compatibilitaet gegeben haette in die basis funktionen... Es gibt noch soviele stellen in die mods/ wo man aenderungen wegen design machen muss, wodurch der code anders ist, das es fast soviel arbeit ist um den code umzubauen auf 2009.x.x dan das es ist ein totale neue webseite zu bauen... Ich sehe dan auch keine andere wahl um bei 2008.2.1. zu bleiben... Zuletzt editiert von Mindcrime am 27.03.2009 um 14:45 Uhr (1x Editiert)
|
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 1 - 27.03.2009 um 14:49 Uhr
Das ist natürlich deine Entscheidung, es wurde aber von anfang an gesagt das sie ne menge ändern wird. Wir empfehlen aufjedenfall das update auf die neuste Version, nicht nur wegen den neuerungen sondern auch aus Sicherheitsgründen, es wurden einige Sicherheitslücken bereinigt. |
Inaktiv |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 2 - 27.03.2009 um 14:56 Uhr
Dan waehre es vielleicht gut zu wissen welche das sind, damit ich die selber in 2008.2.1. patchen kann... |
Inaktiv |
|
scennative Poststar Beiträge: 640 |
# Antwort: 3 - 27.03.2009 um 15:01 Uhr
dann kann man doch gleich die Sicherheitslücken veröffentlichen und ne anleitung zum hacken geben. |
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 4 - 27.03.2009 um 15:03 Uhr
Richtig, es hat nen Grund das wir diese Lücken nicht veröffentlicht haben und das auch nicht tun werden. Es gibt noch genug Seiten, die ihre Seite mit der alten Version betreiben und genau aus diesem Grund wirds die Lücken nicht öffentlich geben. Wenn du nicht updaten willst, wirst du damit leben müssen |
Inaktiv |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 5 - 27.03.2009 um 15:07 Uhr
Duh! Security through obscurity??!? Das ist erstens die schlechteste idee ueberhaupt... Zweitens, wenn der source code vorhanden ist, dan brauchen sich die cracker nur die changes anzukucken um zu wissen was zu cracken ist... Das kann ich ja auch machen, nur kostet mir das sau viel zeit um das heraus zu finden und es waehre schoen wenn die leute von ClanSphere einen auf den weg helfen koennte... Ich hab schon genuegend bugs, code fixes und addons hier gepostet, security fixes/patches werde ich natuerlich gerne veroeffentlichen fuer 2008.2.1... Offen sein (und patches vorlegen) ist die einzige richtige loesung... |
Inaktiv |
|
e30micha Poststar Herkunft: Trier Beiträge: 639 |
# Antwort: 6 - 27.03.2009 um 15:10 Uhr
Ist bei mir auch so, ich warte jetzt mal auf die module von putzy und die finale Version. Was ich mich frage, warum immer noch die öde War-Ansicht dabei ist? Dabei gibt es hier so gute Vorschläge und Module... Aber die Squadansicht gefällt mir jetzt richtig gut ------------------ „Wenn Unrecht zu Recht wird, wird Widerstand zur Pflicht!“ - Bertolt Brecht
|
Inaktiv |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 7 - 27.03.2009 um 15:30 Uhr
Wenn ihr nicht backward compatibel seit, koennt ihr auch nicht erwarten das leute einfach so umwechseln koennen... Nicht al diese leute deren add-on modulen nicht mehr arbeiten wegen dieses fehlen von backwards compatibilitaet haben nicht alle die kenntnisse um das um zu coden... Dan seit ihr eigentlich "ethisch / moralistisch" verpflichtet um support zu bieten fuer die alte version... |
Inaktiv |
|
Ramires Supporter Herkunft: Waldeck Beiträge: 1900 |
# Antwort: 8 - 27.03.2009 um 15:33 Uhr
ich wollt eigentlich nix dazu schreiben.... Dan seit ihr eigentlich "ethisch / moralistisch" verpflichtet um support zu bieten fuer die alte version... hat einer geschrieben, dass das nicht so ist,...? und ich möchte dann gerne mal moralisch und ethisch daran erinnern, dass das hier immer noch nen freizeit projekt ist, falls das nicht so klar sein sollte, und es gibt genug hier, die die letzten tage und wochen für dieses release ihre freizeit geopfert haben, da isses verständlich wenn hier mal nicht wie losgestochen aus der pistole support geleistet wird,... vor allem bei so einem problem,... ------------------ Verschwende keine Energie an Dinge die Du nicht ändern kannst... Zuletzt editiert von Ramires am 27.03.2009 um 15:33 Uhr (1x Editiert) |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 9 - 27.03.2009 um 15:45 Uhr
Du musst nicht updaten. Wenn du den Aufwand zu hoch einschätzt ist das doch ganz klar verständlich und niemand zwingt dich. Wir empfehlen es nur. Zu dem veröffentlichen von Sicherheitslücken. Wir haben intern lange überlegt wie wir damit umgehen wollen. Was wäre denn wenn wir hier offiziell einen Fix bekannt geben, jemand das liest und dann per google mehrere 100 CLansphere Seiten findet, sie nach unserer "Anleitung" hackt und dann hier über 100te Webmaster angelaufen kommen, weil sie nichts davon wussten, weil sie nicht mehr hier auf der Seite aktiv sind. Wir haben versucht in den CHangelogs die Security-Fixes so gut zu verschleiern wie möglich. ------------------ www.laszlokorte.de |
Inaktiv |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 10 - 27.03.2009 um 16:10 Uhr
Damit helft ihr aber noch immer diese 100 clansphere seiten nicht, weil die noch immer gecrackt werden koennen, wenn sich ein cracker die muehe gibt das herauszufinden... Wenn ihr es NICHT VEROEFFENTLICHT, weiss auch KEINER der 100 das sie ein patch runterladen koennen und machen nichts... Damit sind IMMER 100 seiten crackbar... Wenn ihr es VEROEFFENTLICHT, werden mehrere es ueber die UPDATE NEWS im ADMINISTRATIONS PANEL sehen und koennen sich den patch herunterladen und fixen, und dan sind MAXIMAL (und nicht IMMER) 100 seiten crackbar... Ihr habt dan wenigstens EUER teil/bestes getan, und wenn die admins dan den patch nach monate/wochen noch immer nicht auf deren webseiten angebracht haben, dan sind sie selber schuld... Ob jetzt oder morgen, die luecke wird bekannt werden und dan koennt ihr am besten schon den fix bereit haben und sorgen das die leute den fix schon runterladen koennen, dan es verheimlichen und nichts machen... Ihr habt die total falsche wahl getroffen... Security through obscurity ist die schlechteste idee die es gibt... Und bei ein open source projekt hat es total kein sinn... Und @Ramires: Das hier hat TOTAL NICHTS zu tun ob ihr euch viel arbeit und muehe macht, das wird von jeden hier der ClanSphere benutzt geschaetzt. Und "vor allen bei so einen support", ich denke mal das die wichtigste support die man ueberhaupt geben kann, security support ist, alles andere ist weniger wichtig... Bei mir steht security als hoechsten prioritaet bei eine webseite, aber wenn ihr es mir unmoeglich macht zu upgraden, dan haette ich gerne gewusst wie ich meine webseite(n) schuetzen kann, wenn ihr es den code nicht schreiben wollt ist auch ok, aber dan sagt uns wenigstens was das problem ist, dan fix ich das selber.... Vielleicht solltet ihr mal in google "security through obscurity" suchen und euch mal durchlesen wieso das nicht funktioniert und eine schlechte idee ist... Oh ja, zur info, ich hab schon hunderte security leaks in php/perl/c scripts/programme, webserver software und auf (corporate) webseiten entdeckt und gefixed, darunter phpnuke, mambo, webspell, vwar und andere CMS systeme. Die prozedur sollte sein: - Melden an anbieter und wenn moeglich fix patch anbieten - Warten auf antwort von anbieter - Anbieter zeit geben zum fixen - Anbieter patch veroeffentlichen lassen fuer fehlerhaft version Zuletzt editiert von Mindcrime am 27.03.2009 um 16:20 Uhr (1x Editiert) |
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 11 - 27.03.2009 um 16:20 Uhr
Für uns steht, wie du es auch schreibst, die Sicherheit an erster Stelle und genau aus diesem Grund gab es nun den Release 09. Wir können doch nicht für jeden die verantwortung übernehmen der nicht Updaten möchte, genau so wie es auch nicht sinnvoll ist auf der alten Version zubleiben, es erleichtert uns den Support nicht wenn 20 versionen im Umlauf sind und grade bei den jetztigen Versionen müssen wir dann jedes mal komplett umschalten um Support leisten zukönnen. Meiner Meinung nach solltest du dich lieber fragen ob der einmalige Aufwand sich nicht doch lohnt um seine Seite auf den Stand der 09 Version zubringen. Aus meiner sicht sicht ist dies die beste Wahl die du machen kannst |
Inaktiv |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 12 - 27.03.2009 um 16:25 Uhr
Wenn sicherheit bei euch an erster stelle steht, wurdet ihr nicht das security through obscurity prinzip benutzen... |
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 13 - 27.03.2009 um 16:26 Uhr
Das sind die ersten Sicherheitslücken die wir nicht veröffentlichen und das hat einfach seine Gründe. Zuletzt editiert von equaL am 27.03.2009 um 16:26 Uhr (1x Editiert) |
Inaktiv |
|
Spongebob King for a day Herkunft: Kassel Beiträge: 277 |
# Antwort: 14 - 27.03.2009 um 16:28 Uhr
Mensch du machst dir aber sehr viel sorgen um nichts, das wäre ja als ob ich heut noch mit win me rumsurfen würde und mich beschwere das es keine updates mehr gibt, tzzz Schon alleine aus Performance-Gründen würde ich jederzeit auf CS2009 wechseln ------------------ ClanSphere developer - since 2010 we know how to party! - since 2004: www.sternex.de plentySystems developer - since 2010: www.plentysystems.de Zuletzt editiert von Spongebob am 27.03.2009 um 16:29 Uhr (2x Editiert) |
Inaktiv |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 15 - 27.03.2009 um 16:34 Uhr
Ich bin mir sicher das durch diese diskussion einige kiddies schon am suchen sind... Und wenn es nur um diesen server var problem handelt, das problem ist schon so alt und bekannt... Da werdet ihr wirklich niemand mit helfen um das zu verheimlichen... |
Inaktiv |
|
GaHero Poststar Beiträge: 733 |
# Antwort: 16 - 27.03.2009 um 16:43 Uhr
Es ging die ganze Zeit um Sicherheitslücke!n!... Bitte nicht vergessen! Und wie gesagt, es lohnt sich ja auch diese Arbeit zu investieren! |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 17 - 27.03.2009 um 16:47 Uhr
Also von den zwei Lücken, die ich grad im Kopf hab hat keines was mit server var zu tun, auch wenn ichn icht ganz sicher bin was du damit meinst. Aber es gibt ja eine möglichkeit die Lücke zu beseitigen, indem man updated. es ist aufwändig, aber möglich. Wir bieten die Möglichkeit und jeder User kann sich entscheiden. das es nicht moeglich ist um die core dateien von 2009 (system/*) zu kopieren und das dan alle module noch irgendwie arbeiten... Ich bin grad nicht sicher, wo die Abwärtskompatiblität fehlt. Aber Abwärtskompatiblität schliesst große neuerungen schonmal generell fast aus. z.B. wird sich grad ein neues Rechtesystem von Teilen der Community gewünscht, wie soll man sowas einbauen und mit dem alten Rechtesystem kompatibel bleiben? ------------------ www.laszlokorte.de |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 18 - 27.03.2009 um 16:56 Uhr
wir bieten nicht wie z.b. die linux distribution ubuntu jahrelangen support für irgendwann mal freigegebene versionen, sondern setzen voraus das die jeweils aktuellste version beim benutzer vorhanden ist. sollte dies nicht der fall sein und der support dadurch schwieriger werden probieren wir dennoch lösungen zu finden. dies hat aber eben seine grenzen. unser verhalten bei der behandlung von sicherheitsproblemen wird sich in naher zukunft ändern. durch aufklärung und information wollen wir dafür sensibilisieren. wenn dir der aufwand zu groß sein sollte: die umstellung auf themes betraf eben jede datei, der jetzt zu erledigende aufwand sollte sich zu früheren versionen zumindest halbiert haben. damit es angemessen bleibt warte sonst die kommende final ab. danke für eure meinungen, es bringt uns weiter und dadurch wiederum euch ------------------ ClanSphere - professional clan care starts here |
Offline |
|
Mindcrime Thread-Ersteller Geekboy Beiträge: 1155 |
# Antwort: 19 - 27.03.2009 um 17:01 Uhr
27.03.2009 um 16:47 Uhr - SCHIRI: Aber es gibt ja eine möglichkeit die Lücke zu beseitigen, indem man updated. es ist aufwändig, aber möglich. Wir bieten die Möglichkeit und jeder User kann sich entscheiden. Es gibt ja auch die moeglichkeit das du sagst was das problem ist, dann hab ich ja die moeglichkeit um es selber und schnell zu fixen, ohne das ich viele stunden damit verbringen muss um mir die diffs an zu schauen... Wenn ihr kein support bieten will auf die alte version, dan SAGT MIR wenigstens was das problem ist, dan LOESE ich es SELBER! Mensch, wie schwierig ist das zu verstehen! Der diff von code besteht aus 100.000 zeilen... Zuletzt editiert von Mindcrime am 27.03.2009 um 17:03 Uhr (1x Editiert) |
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 20 - 27.03.2009 um 17:02 Uhr
Wie schwer ist es denn zuverstehen, dass wir die Sicherheitlücke nicht öffentlich machen werden? |
Inaktiv |
|
Dieses Thema wurde von Fr33z3m4n geschlossen. |
|
Antworten: 38
|
Latest 5 Templates
Demo
Probiere ClanSphere aus und teste daran herum. Demo
Spenden
ClanSphere ist freie OpenSource Software.
Bitte unterstützt uns.
Spenden