10. Tag nach Behauptung "bestehender Sicherheitsmängel": Immer noch kein konkreter Angriffsvektor
bearbeitet von Google weiß allesIch stelle wie folgt fest:
Statt die konkret behaupteten _"bestehenden Sicherheitsmängel"_ darzulegen kamen wieder nur theoretische Überlegungen und [fragwürdige](https://forum.selfhtml.org/meta/2016/jun/30/artikel-loginsystem-geloescht/1670836#m1670836) Beispiele, welche mit dem konkretem Skript rein gar nichts nichts zu tun haben. Der weitaus größte Teil der vorgelegten Überlegungen mag zudem sinnvoll sein, wenn ein großes Programm von mehreren geschrieben wird - **das als "einzig richtig" vorgestellte Vorgehen wird aber genau dann immer unsinniger wenn das Programm wie vorliegend ein kleines Skript ist**. Und zwar weil dieses Vorgehen selbst zu einer dann nicht unwesentlichen Vermehrung des Codes führt - und zwar ohne jeden Gewinn an Übersichtlichkeit und Sicherheit. Das ist wie wenn man ein jpeg zippt: Dar Ergebnis ist nicht kleiner, sondern größer. Hauptsache die Daten wurden komprimiert...
Wenn ich dann noch lese, dass ein PHP-Skript die zugrunde legende PHP-Version überprüfen solle, dann komme ich zu dem Ergebnis, dass wenn man das als richtig erachten wolle, dass man dann aber auch:
* nach PHP auch das Betriebssystem,
* nach dem OS auch die BIOS-Version der Hardware,
* sämtliche parallel installierte Software,
* ... was immer auch Einfluss nehmen kann ...
prüfen muss.
Mit allem Verlaub dürfte das bei einem Skript, welches den Job hat, ein Login durchzuführen und ein gemeinsames Geheimnis zu teilen sowie also eine Erkennung des Benutzers und seiner Rechte (Gruppen) zu ermöglichen, ein ganz sehr höflich formuliertes "wenig" der Aufgabe vorbei gehen. Derlei gehört allenfalls in ein Setup-Skript, welches im Wiki-Artikel aber nicht beschrieben wurde.
Die Formulierung "bestehende Sicherheitsmängel" erzeugt die Vermutung, dass ein konkreter Angriff möglich ist. Diesen hat @1unitedpower auch 10 Tage nach seiner Behauptung nicht beschrieben, was die Vermutung erzeugt, dass er also keinen gefunden hat.