Hi Philipp und Alain,
ich weiss der taint modus ist keine garantie gegen attacks und oder für die sicherheit,
desshalb wärs gut mal konkret zu erfahren (vielleicht in deutsch)
welche gefahren genau z.B. lauern könnten (mit Beispielen).
Vielleicht hilft dir ja der Artikel von Xwolf:http://www.xwolf.de/artikel/cgisec.shtml
Ich weiss diverse methoden um selbst unsichere cgi's sicher ausführen zu lassen z.B. ein formular
dass nur über den eigenen server ausführbar sein darf (referer check) wäre eine art,aber selbst da könnte man zwar
den server crushen,da wär dann der taint modus schon gut um diese gefahr zu verhindern.
Der Referer bringt rein gar nichts! Den kann jeder Nutzer ohne Probleme fälschen. Daher ist das nur vorgetäuschte Sicherheit. Genauso wie der Tainted-Mode meiner Meinung nach. Ich habe es jezt nicht ausprobiert, aber eigentlich dürften die Parameter nicht einmal vom Tainted-Mode betroffen sein, da sie, um extrahiert zu werden, schon mit einem Regex "behandelt" wurden und daher nicht mehr vom Tainted-Modus betroffen sind.
Was meinst du eigentlich mit "Server crushen"?
Grüße Andres Freund
ss:) zu:) ls:} fo:) de:] va:) ch:| n4:& rl:° br:^ js:( ie:% fl:( mo:|