[Allegro] {dbn}.sgf fuer avanti

Do Jun 26 08:48:39 CEST 2008

Thomas Berger schrieb:
 > ... In
> 
> http://bugzilla.gymel.com/show_bug.cgi?id=505
> 
> ueberpruefe ich, dass die Anleitungen unter "h flex=So erstellt"
> aktuell, funktional und brauchbar sind.
> ...
> 
> Erst wenn hier durch Adresssperre, Verbieten von "anonymous Access",
> Wahl unoffensichtlicher Benutzernamen und Passwoerter der Vorhang
> etwas heruntergelassen ist, kann man sich fuer die Code-Injection-
> Loesungen in vorhandenen Interfaces interessieren: Weil auch diese
> Anwendungen Jobs on the Fly zusammenbauen (und nicht dem Avanti
> bekannte Universal-Jobs mit variablen Parametern ansteuern) ist
> Code-Injection a priori jedenfalls nicht auszuschliessen und bei
> den von mir ueberpruefbaren ruckzuck-Katalogen auf Ihrer Homepage
> auch moeglich.
Das trifft nicht zu, wir haben die Möglichkeit einer Injektion von
mehrzeiligen Eingaben mit eingebauten Befehlen, die dann ausgeführt
würden, schon vor längerer Zeit abgestellt:
Die scheinbare Problematik mit  "var '$urN'" ist ausgemerzt
durch die Vorverarbeitung jeder $-Variablen in vpr(), wo auch bei
Bedarf noch mehr getan werden könnte. Durchschleusen einer mehrzeiligen
Eingabe direkt in den erzeugten FLEX-Code - das ist doch der einzige
Punkt - ist damit unterbunden.

Insgesamt ist allerdings einzuräumen, daß der Aufwand an
Vorsichtsmaßnahmen, die der Zurverfügungsteller einer Datenbank und
der Bereitsteller von dazu gedachter Software sich überlegen sollten,
sehr beträchtlich ist, wollen sie dem erstaunlichen Potential an
Erfindungsreichtum, das maliziöse Nutzer mobilisieren könnten, begegnen.
Bankkonten in einer allegro-Datenbank zu verwalten ist m.a.W. momentan
nicht ratsam. Erwiesene Sicherheitslücken, so lautet das ceterum censeo,
sind zu schließen, denkbare präventiv zu vereiteln, Arglist und
Destruktivität auf Nutzerseite als gegeben zu betrachten - das sind
schlichte Realitäten unserer wie jeder anderen Zeit. Selbst Giganten
wie Onkel Bill kommen da bekanntlich kaum nach.

MfG B.E.