[Allegro] {dbn}.sgf fuer avanti

[Thomas Berger]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Lieber Herr Eversberg,


|> ...  Worauf
|> ich hinaus will ist ja noch drastischer: Das avanti-Prinzip
|> beruht ja nicht auf "stored procedures" wie bei a99 (und mir
|> fallen auch da mehrere Moeglichkeiten ein, eigenes zur
|> Ausfuehrung zu bringen),
| Dann führen Sie die mal vor, vage Anspielungen bringen uns da nicht
| weiter. Schreiben Sie einen Trick 16, wie man sowas machen kann.

Falls sich Ihre Aufforderung auf a99 bezog: In

http://bugzilla.gymel.com/show_bug.cgi?id=505

ueberpruefe ich, dass die Anleitungen unter "h flex=So erstellt"
aktuell, funktional und brauchbar sind.



Avanti-Loesungen beruhen darauf, dass ihm die auszufuehrenden Jobs
geschickt werden, i.A. ist die einzige Huerde dann noch die Kenntnis des
symbolischen Datenbanknamens.

Erst wenn hier durch Adresssperre, Verbieten von "anonymous Access",
Wahl unoffensichtlicher Benutzernamen und Passwoerter der Vorhang
etwas heruntergelassen ist, kann man sich fuer die Code-Injection-
Loesungen in vorhandenen Interfaces interessieren: Weil auch diese
Anwendungen Jobs on the Fly zusammenbauen (und nicht dem Avanti
bekannte Universal-Jobs mit variablen Parametern ansteuern) ist
Code-Injection a priori jedenfalls nicht auszuschliessen und bei
den von mir ueberpruefbaren ruckzuck-Katalogen auf Ihrer Homepage
auch moeglich. Ich hatte 2002 bereits darauf hingewiesen, als die
Sache noch phpac hiess: http://bugzilla.gymel.com/show_bug.cgi?id=203
(die gravierendsten damals angesprochenen Sicherheitsmaengel wurden
behoben, die Problematik von Code-Injection blieb)

viele Gruesse
Thomas Berger
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3-nr1 (Windows XP)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iQCVAwUBSGLyhWITJZieluOzAQLF9wP/XZTWywS3Sxev1Bs3MFCX7VkT0bMr3ty+
+2OHfn+ogATa4lZsT50A9NaWyIA4UfuCUTBnIbVA7jGHDFUMty7rFbFWtQynW9e6
J/1ZdF0oclU3VAIZK8XPm7k2T+RXeUgTwADF1QrNdURT4dDFGMYkljEvdRaBteKw
zK2r9v+Ki2U=
=AnPv
-----END PGP SIGNATURE-----