|
|
|
|
|
|
|
| | Zitat von Teufel
Und was soll denn eine buggige Version von phpMyAdmin bewirken? Dadurch kriegt niemand Zugriff auf den Server.
| |
Ein Beispiel?
Ein Bug erlaubt es einem Angreifer PHP-Code aus zu führen, der kann, wie bereits erwähnt, aus diversen Quellen geladen werden. Oder mittels wget, curl, ftp oder anderen "basic" *NIX-Tools (mittels shell_exec).
Sofern man einen veralteten Kernel fährt und es ein lokaler Root-Exploit existiert der funktioniert bist Du ziemlich schnell nur noch Gast auf der Maschine für die Du zahlst.
Wie der Pinguin bereits sagte: Da kann so einiges ins Auge gehen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Strider am 30.03.2010 14:38]
|
|
|
|
|
|
|
|
|
Schonmal überlegt auf ner kleinen Linux/Windows/wasweißich-Kiste im LAN zu testen?
So hab ich damals mal angefangen. Das dauert auch ein bisschen bis man da nen Apache mit PHP am laufen hat.
Oder alternativ einen Managed-Server. Das wäre auch meine Wahl gewesen wenn die Dinger nicht so scheisse teuer wären. 5% meines Einkommens sind mir die Dinger leider nicht wert 
Dann lieber einen der nur mit DSL angebunden ist zum spielen. Vielleicht setz ich mir meinen alten Laptop nochmal auf 
|
|
|
|
|
|
|
|
|
|
|
Also ich hab auch ganz klassich mit nem Heimserver unter ghandmann.homeip.net angefangen.
Das hat den Vorteil, dass man im Notfall einfach ausschalten kann und erstmal schauen, was schief gelaufen ist bzw. einfach neuinstallieren. 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von damisau
| | Zitat von Teufel
| | Zitat von damisau
Muss mich gerade leider ein wenig mit JS abquaelen:
Wie hole ich mir einfach die selected options aus einem multiple select per JS (Formvalidierung)? Da komme ich nicht drum rum mir eine eigene Funktion zu basteln oder? | |
$("select :selected")
oder das hier:
| |
| Code: |
function getSelects(element) {
var options = element.getElementsByTagName("option"), stack = [];
for (var i=0; i<options.length; i++) {
if (options[i].selected) { stack.push(options[i].value); }
}
return stack;
} |
|
| |
Danke, habe ich mal uebernommen, stehst jetzt im Quellcode drin:
//Das hat mir der Teufel gesagt:
function getSelects(element) {
| |
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Strider
| | Zitat von Teufel
Und was soll denn eine buggige Version von phpMyAdmin bewirken? Dadurch kriegt niemand Zugriff auf den Server. | |
Ein Beispiel?
Ein Bug erlaubt es einem Angreifer PHP-Code aus zu führen, der kann, wie bereits erwähnt, aus diversen Quellen geladen werden. Oder mittels wget, curl, ftp oder anderen "basic" *NIX-Tools (mittels shell_exec).
Sofern man einen veralteten Kernel fährt und es ein lokaler Root-Exploit existiert der funktioniert bist Du ziemlich schnell nur noch Gast auf der Maschine für die Du zahlst.
Wie der Pinguin bereits sagte: Da kann so einiges ins Auge gehen. | |
Also dass ich meine Scripts gegen Injections etc absichern sollte das ist mir klar.
Dass man php nicht als Root ausführen sollte ebenfalls.
Mein PHP ist schon so weit fortgeschritten dass ich weiß wos gefährlich wird - da mach ich mir keine Sorgen.
Mir gehts um Sachen von denen ich nix weiß - irgendwelche Hacker-Angriffe von außen etc.
|
|
|
|
|
|
|
|
|
|
|
Noch ne tolle Idee:
Rootserver mieten und vserver installieren, und nur den online stellen :x
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
brrrrr 
|
|
|
|
|
|
|
|
|
|
|
Nur raus damit, die Seite hatte den Anspruch zu testen ob das technisch möglich ist, nicht ob das gut aussieht 
|
|
|
|
|
|
|
|
|
|
|
|
fugly, aber sowas von. Und der Effekt wird eher nerven als alles andere.
|
|
|
|
|
|
|
|
|
|
|
|
Okay, ich werd mir was Anderes ausdenken. Trotzdem finde ich dass das einen Gedanken wert war.
|
|
|
|
|
|
|
|
|
|
|
Nee.
|
|
|
|
|
|
|
|
|
|
|
Doch, in meinem Kopf sah das ganz toll aus!
|
|
|
|
|
|
|
|
|
|
|
Naja, son Rootserver ist nich billig. Wenn du die 30-40 Takken/Monat aufbringen willst, kannste dir mal die Angebote bei Hetzner anschauen: Da kann man nicht viel mit verkehrt machen
|
|
|
|
|
|
|
|
|
|
|
|
FYI: Mods können absofort auch ältere Versionen von editierten Posts einsehen. Also passt auf was ihr im pOT so schreibt
|
|
|
|
|
|
|
|
|
|
|
Ne, das ist noch weit weit länger her. Da hatte ich den vServer ja schon. Nur das Problem, dass alle ports im Geschäft nach außen dicht waren.
ghandi.homeip.net wurde mir dann irgendwann weggeschnappt.
Das Problem von damals löste ich dann, indem ich SSH einfach zusätzlich auf 443 laufen lies. Schlieslich durfte man aus dem Geschäft auch auf HTTPS zugreifen. Damit war das einfacher geritzt
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Morgil
Guten Morgen!
| | Zitat von dino the pizzaman
| | Zitat von Teufel
xt commerce
zB | |
mhmhmh, das Ding kostet aber? Sollte kostenlos sein. Notfalls reicht auch etwas simpleres. Es sollte vom Konzept her einfach stocksolide sein. hm. | |
Wie wärs mit osCommerce? Basiert auf dem gleichen System wie der xt:C, ist aber meines Wissens nach kostenlos und vom Stil her mehr wie eine Open Source-Anwendung.
Achsel: Ein Shopsystem das erweiterbarer als xt-Commerce, intelligenter als osCommerce und schneller als Magento ist :x | |
ich hab mal etwas drüber nachgedacht und setze ihr erstmal einen simplen, einfachen webshop auf. Damit soll sie erstmal klar kommen. Wenn das Geschäft - dass ja eigentlich nur ein Hobby / Zeitvertreib ist - irgendwann so weit ist, dass sie mehr benötigen möchte, kann man weiter sehen. Hab mir dann quer Feld ein einige Systeme angeschaut und bin über PrestaShop gestossen. Kurze Testinstallation und mal ausprobiert... sehr simpel und bietet das nötigste. Mich stört, dass ein Teil der Plugins von Benutzern verkauft werden und nicht alles kostenlos angeboten wird.. von der Philosophie her nicht gerade mein Favorit, aber das Grundsystem reicht in seiner Funktionalität aus und das Wichtigste sollte ich/sie damit hinkriegen. 
|
|
|
|
|
|
|
|
|
|
|
Typo3 kotzt mich an!
|
|
|
|
|
|
|
|
|
|
|
|
Warum? Ich finde es ganz knorke!
|
|
|
|
|
|
|
|
|
|
|
An der Uni streiten sich immer die Typo3- und Drupalleute.
Als ich mal gefragt habe, warum die denn gar keine anderen Alternativen evaluieren (is ja nich so, dass der CMS-Markt klein wär...), haben die mich nur ganz ungläubig angeguckt
|
|
|
|
|
|
|
|
|
|
|
Typo3 hab ich nie kapiert, Drupal hingegen hat nach einigen Anläufen mehr oder weniger geklappt. Zumindest für einfache Seite mit ein zwei kleinen Extras. Man merkt - in meinen Augen - dass es ein Nerd-System ist weil gewisse Dinge in Sachen usability einfach zum Kotzen sind, aber ich glaube ich werde in Zukunft häufiger auf Drupal setzen.
|
|
|
|
|
|
|
|
|
|
|
|
Ich würde eher auf modernere Frameworks setzen: Bei Drupal und insbesondere (!) Typo3 merkt man doch recht deutlich, dass auf die neuen Technologien und UI-Möglichkeiten, die u.A. durch die neuen performanten Javascript-Engines möglich wurden, nur sehr unwillig eingegangen wird.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von TriggerTG am 30.03.2010 16:07]
|
|
|
|
|
|
|
|
|
Hmm, mir ist aufgefallen, dass erstaunlich viele Studenten hier in Rostock immer mit Mamas und Papas hilfe umziehen und renovieren. Ich kenn das so gar nicht. Ich mach sowas entweder selbst oder mit Freunden wenns nötiog ist, und belästige nicht meine Eltern. Auch bei meinen Eltern war es damals afaik so. Wenn dann sollte es umgekehrt, und man hilft seinen Eltern/Großeltern beim renovieren und umziehen.
Ich meine, klar, die Studienanfänger sind heute dank lediglich 12 Jahren Schule und oftmals fehlendem Wehrdienst circa 2 Jahre jünger als ich es damals war, aber trotzdem...
Die Jugend verweichlicht immer mehr!
(Meine Eltern waren in den 4 Jahren exakt einmal in der alten Studentenbude und einmal in der neuen Wohnung, jeweils für etwa 8 mins )
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von TriggerTG am 30.03.2010 16:12]
|
|
|
|
|
|
|
|
|
| | Zitat von damisau
Warum? Ich finde es ganz knorke!
| |
Ich eigentlich auch. Nur ist die TypoScript Doku leider unsagbar beschissen und die "Community" hat zum großteil selber keinen Plan.
Ich hab hier jetzt ne ganze Weile an einem Problem gesessen, dass einer mit vernünftigen Kenntnissen in TS in einer Minute gelöst hätte oder mir zumindest direkt hätte sagen können wie ich es lösen muss. Solche Leute sind merkwürdigerweise aber verdammt selten...
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von TriggerTG
Ich würde eher auf modernere Frameworks setzen: Bei Drupal und insbesondere (!) Typo3 merkt man doch recht deutlich, dass auf die neuen Technologien und UI-Möglichkeiten, die u.A. durch die neuen performanten
Javascript-Engines möglich wurden, nur sehr unwillig eingegangen wird. | |
das stimmt (was ich unter anderem auch in den Bereich miese usability stecke). Andererseits hat man auch als "Anfänger" durch die riesen community und die Vielzahl von Modulen für sehr viele und teils auch bereits recht komplexe Probleme irgend eine Lösung in Form von Modul oder ausführliches Tutorial etc. parat. Ist man aber blutiger Anfänger (und das war bei Drupal zu Beginn mein Hauptproblem) hat man Mühe überhaupt mal einen Überblick über das System zu bekommen. Liegt in meinen Augen vor allem daran, dass alle "Einsteigertutorials" bereits von einem gewissen Grundwissen und Basiserfahrung im Umgang mit dem System ausgehen. Zu Beginn ist das für einen n00b wie mich recht frustrierend und das empfand ich auch als grösster Negativpunkt bei Drupal.
Aber nun ja, mal schauen was da noch so kommt in Zukunft. Bin auch immer offen für neue Systeme, wenn also jemand Inputs hat nur her damit.
|
|
|
|
|
|
|
|
|
|
|
PHP hatte mal einen Bug in PREGs welcher Code-Injection ermöglich hat. Sobald irgendwelcher Code von PHP ausgeführt wird hat man verloren.
Lokale Root-Exploits sind selten, Bots/Würmer benötigen keine administrative Rechte; nur Zugriff auf das Netz und sind somit die Regel.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Strider am 30.03.2010 16:22]
|
|
|
|
|
|
|
|
|
| | Zitat von Smoking
| | Zitat von damisau
Warum? Ich finde es ganz knorke!
| |
Ich eigentlich auch. Nur ist die TypoScript Doku leider unsagbar beschissen und die "Community" hat zum großteil selber keinen Plan.
Ich hab hier jetzt ne ganze Weile an einem Problem gesessen, dass einer mit vernünftigen Kenntnissen in TS in einer Minute gelöst hätte oder mir zumindest direkt hätte sagen können wie ich es lösen muss. Solche Leute sind merkwürdigerweise aber verdammt selten...
| |
Ich glaub ich werd langsam wie Achsel. 
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von dino the pizzaman
...
Aber nun ja, mal schauen was da noch so kommt in Zukunft. Bin auch immer offen für neue Systeme, wenn also jemand Inputs hat nur her damit.
| |
Ich wollte mir mal TYPOlight anschauen, wenn ich mal Zeit dafür habe. Ostern vielleicht.
|
|
|
|
|
|
|
|
|
|
|
| |
| Code: |
<script type="text/javascript">
//<![CDATA[
function check(){
var options = document.getElementById('yearmenu').getElementsByTagName('option');
for(i=0;i<options.length;i++){
if(options[i].value < 1975){
document.getElementById('yearmenu').removeChild(options[i]);
}
}
}
//]]>
</script>
<form name ="years" method="get" action="#">
<SELECT MULTIPLE NAME="years[]" SIZE="10" id="yearmenu" onchange="check();">
<option value="1970">1970</option>
<option value="1971">1971</option>
<option value="1972">1972</option>
<option value="1973">1973</option>
<option value="1974">1974</option>
<option value="1975">1975</option>
</SELECT>
</form>
|
|
Warum klappt der rotz nicht und loescht alle options < 1975 auf einmal, sondern nur ein paar? Ich mag JS nicht.
|
|
|
|
|
|
|
|
| Thema: Gehirnsalat ( wir unter uns ) |
