[Allegro] Weitere Sicherheitsverbesserungen, insbes. avanti

Bernhard Eversberg ev at biblio.tu-bs.de
Fr Jun 27 08:03:33 CEST 2008


Die gestrigen Verbesserungen haben uns intern noch nicht ruhen lassen,
es wurde weiter getestet - nicht ohne Resultate. Das wichtigste:

Bei avanti mit PHPAC ist der single quote, das Zeichen ', so klein
es ist, ein großes Problem. Einerseits muß es in Dateneingaben
uneingeschränkt vorkommen können, andererseits wird es als Begrenzer
von Zeichenfolgen gebraucht, und drittens kann es infolgedessen der
maliziöse Datenbankfeind auf subtile Weise zur Einschleusung
eigener, subversiver Befehle umnutzen. Diese sich gegenseitig
scheinbar unauflöslich blockierenden Anforderungen bzw. Nebenaspekte
hatten gestern noch keine vollwertige Lösung erfahren. Jetzt sind
wir aber fast soweit. Ziel war u.a., die PHP-Skripte nicht alle
umschreiben zu müssen. Einige wenige Zeilen in av_ini.php genügen.
Zusätzlich mußte in  acon  noch was passieren, das ist jetzt
auch erledigt.

Wir werden heute noch ein weiter verbessertes acon vorlegen,
für Windows, Solaris und Linux, sowie das av_ini.php mit der
Verbesserung. Es handelt sich nur um die Funktion vpr(), die man
schlicht auswechselt in seinen eigenen Versionen davon. Da
laufen zwecks Vorbereinigung alle Variablen durch, die von der
Clientseite kommen und in denen was Unerwünschtes stecken könnte.

Beunruhigung und hektische Betriebsamkeit, das sei nochmals
gesagt, ist unangebracht! Diese Unzulänglichkeiten haben bisher,
soweit wir sehen, zu keinen realen Problemen geführt. Wir müssen
nur als Entwickler jedes Schlupfloch, das irgend jemand
möglicherweise nutzen könnte, zumauern. Das nehmen wir ernst,
und diese Sache, schon länger bekannt, konnten wir jetzt im Zusammenhang
mit acon endlich mal an der Wurzel packen.

MfG
B.E.




Mehr Informationen über die Mailingliste Allegro