Halihallo Rolf
Kann es sein, dass du das Ursprungsposting nicht verstanden hast?
Doch , hab ich durchaus. Mich hat zu genau diesem Thema ein Webworker bereits vor einem Jahr mal angeschrieben und mir gesagt, ich solle meine Scripts prüfen. Selbstverständlich hab ich das auch gemacht mit dem Ergebnis, dass sein Hinweis auf meine Scripts nicht zutraf. Deswegen komme ich zu dem Schluss, dass das im Einzelfall halt geprüft werden sollte.
Nicht im Einzelfall, sondern in Jedemfall :-)
Es besitzt keiner eine Glaskugel, die ihm sagt, dass er eben
zum Einzelfall gehört oder nicht. Prüfen muss jeder, *jeder*.
Es ist natürlich gut, wenn der Verdacht bei deinem Beispiel nicht
erhärtet werden kann, aber deine Stellungnahme "... Keine Panik..."
war IMHO deplatziert. FrankS will andere auf potenzielle
Sicherheitslücken aufmerksam machen und du sagst sowas wie: "Och
Freunde, ist nur halb so wild. Nur keine Panik, es kommt ja darauf
an wie der Code aussieht und das weiss der Angreifer ja nicht, nur
keine Sorge...". So kann man dein Posting lesen und so habe ich es
verstanden. Vielleicht verstehst du jetzt meine Einwände.
Dass das Script auch funktionieren kann (wenn die Kodierung etc. OK
ist), ist ja jedem klar. Das brauchst du auch keinem mitzuteilen.
Im Gegenteil: Man soll niemandem sagen, dass etwas auch "gut gehen"
kann! - Derjenige, der dies liest fühlt sich dann nur in (nicht
existenter) Sicherheit geborgen.
In der Sicherheit muss man immer vom Worst-Case ausgehen... bla bla
bla... der Worst-Case tritt immer ein... bla bla bla... man kann
stets davon ausgehen, dass der Angreifer schon den gesamten Code
kennt bla bla bla... Du kennst das ja, ich wiederhole mich nur
einmal mehr für's Archiv.
Im Übrigen finde ich es ganz toll, hier in diesem Forum zu meinen Postings immer irgendwelche Erklärungen abgeben zu müssen ;-)
Du bist der Praktiker ich der Theoretiker => Meinungs-
verschiedenheit :-)
... das hatten wir doch schonmal, nicht? :-)
Mach ich doch gerne, weil Du's bist mein Freund!
Ich doch auch :-)
Viele Grüsse
Philipp
if Murphy's laws are so true then why can I go to MSDN and learn someth...
<img src="http://www.emedias.ch/jserr.gif" border="0" alt="">