Artikel: Die zehn größten Sicherheitslücken im Web
tami
- zur info
hi alle,
da ich diesen Artikel interessant finde, verlinke ich ihn hier mal, auch wenn es erst die Nr. 3 von 10 ist. Wen das nicht interessiert, bitte erst garnicht lesen und vor allem nicht kommentieren.
http://phpmagazin.de/artikel/zehn-sicherheitsluecken-im-web-teil-3-175030.
Ist nur "Zur Info". Und nein, ich arbeite nicht für Heise und auch nicht fürs PHP-Magazin.
mfg
tami
hi,
Ist nur "Zur Info". Und nein, ich arbeite nicht für Heise und auch nicht fürs PHP-Magazin.
Schade. Sonst hätte ich jetzt hier gleich mal nachgefragt, wie PHP mit der Sicherheitslücke "Temporäre Dateien" in serverseitigen Prozessen umgeht :)
Aber danke für den Link!
Dilettanten-Artikel eines Dummschwätzers
Der passt gut hier ins Forum.
Hier gibt es auch nur noch Nachplapperer und Großmotze.
http://phpmagazin.de/artikel/zehn-sicherheitsluecken-im-web-teil-3-175030.
Ist nur "Zur Info". Und nein, ich arbeite nicht für Heise und auch nicht fürs PHP-Magazin.
Ein Ehemaliger Teilnehmer
Hello,
Dilettanten-Artikel eines Dummschwätzers
Der passt gut hier ins Forum.Hier gibt es auch nur noch Nachplapperer und Großmotze.
Kannst Du das mal etwas näher erläutern, was an dem Artikel falsch ist oder fehlt?
Wenn ich das richtig verstanden habe, wird der noch fortgesetzt.
Sonst würde allerdings wirklich eine Menge fehlen!
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Hallo,
Kannst Du das mal etwas näher erläutern, was an dem Artikel falsch ist oder fehlt?
Wenn ich das richtig verstanden habe, wird der noch fortgesetzt.
Ich lese da
„Im dritten und letzten Artikel der Reihe“.
Das klingt nicht nach Fortsetzungsroman...
Gruß
Kalk
hi Tabellenkalk,
»
Kannst Du das mal etwas näher erläutern, was an dem Artikel falsch ist oder fehlt?
Wenn ich das richtig verstanden habe, wird der noch fortgesetzt.
Ich lese da
„Im dritten und letzten Artikel der Reihe“.
Das klingt nicht nach Fortsetzungsroman...
The OWASP Top 10 - 2013 is as follows:
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013
"Den ersten Sicherheitslücken der OWASP Top 10 wollen wir uns nun in diesem ersten Beitrag einer Serie über mehrere Ausgaben widmen." ... "Im dritten und letzten Artikel der Reihe widmen wir uns dem sicheren Hashing von Passwörtern und der Frage, wieso das neue Passwort-API von PHP 5.5 solch ein großer Schritt nach vorne ist. Zudem geht es um das Access-Level-Control, dem großen Thema der Cross-Site Request Forgeries und dem Einsatz von Drittanbietersoftware."
mfg
tami
Hello,
Kannst Du das mal etwas näher erläutern, was an dem Artikel falsch ist oder fehlt?
Wenn ich das richtig verstanden habe, wird der noch fortgesetzt.
Ich lese da
„Im dritten und letzten Artikel der Reihe“.
Das klingt nicht nach Fortsetzungsroman...
Das würde dann doch eher bedeuten "Zielsetzung schneller Verkaufserfolg, schlampig recherchiert".
The OWASP Top 10 - 2013 is as follows:
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards
Ich muss mir den Teil A3 (XSS) nochmal näher ansehen, nachdem ich nun selber grausam enttäuscht wurde letzte Woche. Und als Info an den M.: Meine Kollegen lachen überhaupt nicht, die haben jetzt mächtig zu tun (das sind die Programmierer, ich mach nur die Doku dazu). HTTPS in Browsern ist unsicher! Das hätte ich persönlich nie geglaubt, denn nach einem früheren Draft (das ich immer noch in unseren Datensicherungen suche, da es im Web verschwunden ist) sollte das anders umgesetzt werden - ähnlich wie die JavaScript One-Origin-Policy.
Und mir persönlich fehlen bei den Artikeln die Upload-Lücken. Die haben wir als sehr häufige Lücke identifiziert und ich habe im Forum oft darüber geschrieben.
Die Mail-Header-Lücke ist auch durch "meine Jungs" erst propagiert worden. Ich habe damals auch darüber berichtet. Vorher hat keiner darüber gesprochen.
@tami:
Es ist _wenig_ sinnvoll, wenn Du derartige Links hier nur reinschmeißt ohne jegliche eigene Bewertung und Hinweise.
Ich kann mir denken, warum Du das so machst. Du magst nicht angreifbar werden durch Diskussionsidioten, denen ich mich auch hier immer wieder gerne aussetze :-P
Aber die Diskussion belebt die Erkenntnis, auch wenn man dann manchmal selber mächtig daneben liegt. Das können aber nur die Wenigsten ertragen. Die meisten sind Pseudo-Machos, die das Abwettern über Andere als Selbstbestätigung brauchen, ohne selber bessere Lösungsvorschläge machen zu können. Also eigentlich sind sie fachlich impotent und wollen das dann durch persönliche Angriffe wieder wett machen.
DU hast das aber nicht nötig. Du hast nämlich noch einen eigenen Kopf, der scheinbar auch noch gut funktioniert. Lass uns also bitte das Forum nicht durch "Denkverbieter" verseuchen lassen, sondern wieder zum Mitdenken anregen.
ich warte ...
und würde mich freuen, wenn da mal keine pesönlichen Angriffe mehr folgen würden.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
hi Tom,
@tami:
Es ist _wenig_ sinnvoll, wenn Du derartige Links hier nur reinschmeißt ohne jegliche eigene Bewertung und Hinweise.Ich kann mir denken, warum Du das so machst. Du magst nicht angreifbar werden durch Diskussionsidioten, denen ich mich auch hier immer wieder gerne aussetze :-P
Es ist doch nicht so, dass ich hier was vorenthalten würde. Sähen wir uns sagen wir an der Uni, hätte ich ein Heft dabei, würde sagen: schau mal hier, interessanter Artikel - und wäre dann um die Ecke. Und beim nächsten Kaffee sagst du mir: habe die ersten Seiten gelesen ...; blabliblo.
Es liegt ggfs. an meinem Zeitmanagement und/oder an der momentanen Motivation und/oder auch an meinem Kenntnisstand zum Zeitpunkt des Postings.
Und dieses Behaupten "_wenig_ sinnvoll" entbehrt jeder Grundlage. Es ist _sinnvoll_ kurz mal Verweise auf interessante, relevante Themen zu geben. Oder: es kann sinnvoll für einige sein. Ggfs. nicht für Dich, oder Auge, aber so what, ich kann ja nicht immer alle ansprechen. Und wenn nur _einer_ das zur Kenntnis nimmt und liest und sich denkt: kannte ich ja noch garnicht. Ist Dir ja hier auch so gegangen. Und: war das _wenig_ sinnvoll? Und um das auf die Spitze zu treiben: welchen Grad an Sinnhaftigkeit müssen Postings denn hier haben und wer bestimmt darüber und bewertet das?
Sag doch lieber das, was hier auch noch ein-zwei-drei andere hinter oder zwischen den Zeilen verbergen: "kau uns doch bitte etwas mehr vor" ...; und ich schrieb schon: "Ist nur "Zur Info".". Was soll ich mehr sagen? Wers nicht kapieren will, will in der Regel diskutieren, u.a. auch nur, weil er grad nischt besseres zu tun hat. Sommerlochdiskussion ...;
mfg
tami
Hello F.,
Und dieses Behaupten "_wenig_ sinnvoll" entbehrt jeder Grundlage.
Ich habe das doch kenntlich gemacht. Es ist _wenig_ sinnvoll.
Sinnvoller wäre ein Excerpt nebst einer Bewertung.
Ich habe nicht gesagt, dass solch ein Link "sinnlos" wäre.
Denk nochmal darüber nach.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
hi Tom,
Denk nochmal darüber nach.
Ja: Du postulierst Grade von Sinnhaftigkeit. Es ist für dich weniger sinnvoll, als wenn ich da mehr drüber geschrieben hätte. Jo, das ist vermutlich aus Deiner Sicht ein sinnvoller oder stimmiger Satz. In keinem Fall kannst Du wissen, ob das für andere auch zutrifft. Du kannst, sicherlich mit einer gewissen Wahrscheinlichkeit, vermuten, dass es anderen eben so gehen könnte. Mag aber auch sein, dass einer gerade mit dem Link auf diesen Artikel (weil er grade ne Arbeit dazu schreibt oder sonstwas macht) sehr zufrieden ist. Und etwaig ergänzender Sermon interessiert ihn vielleicht garnicht. Nu ...? Genug nachgedacht?
mfg
tami
hi tami,
Du guckst auch garnicht hier: https://forum.selfhtml.org/?t=218063&m=1500017. hotti war zufrieden und hat sich bedankt. Das nenn ich mal von Dir und auch anderen "einseitige" Berichterstattung.
Denk mal drüber nach ...;
mfg
tami
Hier gibt es auch nur noch Nachplapperer
Es gibt anscheinend Menschen die erwerben vom Laufen über Sprechen bis hin zu höherem Wissen wie Passwort Sicherheit, allein durch eigenes Tüffteln. Denn erst dann darf man mit dem Finger auf andere zeigen und sie als "Nachmacher" bezeichnen.
Gruß
der einzige der nicht Nachplappert
T-Rex