-Anzeige-
- Status
Anzeigen
du armer :taetschel:. mir geht's aber genauso, nennt sich neudeutsch wohl social networks. ich mag den sch... nicht, aber man muss ja auch nichts eintragen. dass die möglichkeit die ausrüstung eines mitglieds schnell im profil nachzusehen jetzt verschlimmbessert wurde nervt allerdings schon. wieder alles in die signatur ballern?
Mich erstaunt, daß der "Gehe zu"-Navigator nicht mehr da ist und die einzelnen Rubriken unauffindbar sind. Mach´ich was verkehrt???
Ich denke, dass der letzte Feinschliff noch nicht beendet ist und
kleinere Bugs bald noch korregiert werden.
So eine Umstellung der Software ist sicherlich sehr aufwändig und
ist nicht nach ein, zwei Tagen erledigt.
Also - Geduuuld
Kommentar
Das kommt darauf an.
Steht man unter dem Zwang immer das neueste haben zu wollen, dann muss man mit Bugs leben, bzw. sie dann mit der Zeit beseitigen.
Hat man es dann endlich geschafft, steht das neueste Software-Update vor der Tür.
Kommentar
Ich wunder mich auch manchmal und staune auch über Dinge, ärgern tue ich mich über diesen technischen Krempel selten, dafür ist mir meine Zeit zu schade.
Und ich bin da auch immer ein wenig vorsichtig mich bei solchen Dingen zu weit aus dem Fenster zu lehnen, es gibt da nämlich zu viele Sachen die ich nicht weiß:
Gruß
Dirk
Und ich bin da auch immer ein wenig vorsichtig mich bei solchen Dingen zu weit aus dem Fenster zu lehnen, es gibt da nämlich zu viele Sachen die ich nicht weiß:
- Tat das Update der Boardsoftware wirklich Not oder ist das nur ein Administratorenbeschäftigungsprogramm?
- Wieviel Arbeit ist es diese 'kleinen Userwünsche' in die aktuelle Version wieder einzubauen? Drei Mausklicks oder drei Stunden Arbeit?
- Welche von den Dingen die mir nicht gefallen liegen überhaupt in der Hand eines Administrators, welche sind einfach der geänderten Software geschuldet?
- Bei Einstellungen die von 3.6 nicht nach 3.7 übernommen wurden, wer hat da geschlammpt? Der technische Administrator oder die Softwareschmiede?
Gruß
Dirk
Kommentar
Dies hast Du sicherlich überlesen, lieber Kay, daher gebe ich den Grund für die letzten Updates noch einmal bekannt. Dass dabei auch eine kosmetische Bearbeitung erfolgte, kann man uns vielleicht nicht wirklich anlasten.
Aber auch hier gilt, wie immer; jeder kann, niemand muss.
Ich denke, die meisten Bugs haben wir beseitigt; auch hier steht jetzt in den kommenden Tagen noch etwas Kosmetik an.
CSRF - was ist das?
vBulletin nutzt für sehr viele Aktionen (z.B. das Schreiben eines neuen Beitrags, Moderationstätigkeiten, Login, Suchfunktion, usw.) die HTTP Methode POST.
Hierbei werden in ein Formular eingegebene Dateien für den Benutzer 'unsichtbar' an den Server gesandt, d.h. sie sind in der Adresszeile nicht ersichtlich.
Um zu verhindern dass auf diese Weise von dritter Seite Daten an den Server geschickt werden (z.B. von der Website eines Angreifers) prüft vBulletin die Herkunftsadresse der Anfrage (Referer).
Erfolgt eine Anfrage von außen, d.h. wird versucht von einer anderen Webseite ein Formular abzusenden, so ist dies anhand des Referers zu erkennen - vBulletin weist die Anfrage mit einer Fehlermeldung ab.
Gelingt es jedoch einem Angreifer auf einer externen Seite unbemerkt ein Formular abzusenden und den Referer zu fälschen, so schlägt diese Prüfung fehl, die übergebenen Daten werden als 'echt' angenommen und verarbeitet.
Dies kann z.B. ausgenutzt werden um mit fremdem Berechtigungen Aktionen durchzuführen:
Ein Moderator ist im Forum eingeloggt (d.h. seine Session ist noch gültig), bewegt sich dann auf die Website des Angreifers.
Dort wird für ihn unsichtbar ein Formular abgesandt um z.B. Beiträge zu löschen..
Da dieser Vorgang (das Absenden des Formulars) durch den Browser des Moderators erfolgt, wird die Aktion im Forum mit seinen Rechten ausgeführt - die Beiträge sind weg.
Der Tatsache dass über min. 2 Webseiten (das Forum und die Wesbsite des Angreifes) eine Anfrage manipuliert wird ist auch der Name gewidmet: CSRF (oder XSRF) steht für Cross-Site Request Forgery, übersetzt etwa 'Seitenübergreifende Manipulation einer Anfrage'.
Um dies zu verhindern wurde mit vBulletin der neuesten Generation ein neues 'Sicherheits-Token' eingeführt.
Hierbei handelt es sich um einen an die Session gebundenen Zufallswert der als verstecktes Feld in Formularen mitgeführt wird - aber niemals an externe Seiten weitergegeben wird (was z.B. bei der Session durchaus der Fall sein kann).
Bei der Verarbeitung von Formulareingaben wird dieses Sicherheits-Token geprüft, d.h. auf der Serverseite berechnet und mit dem übergebenen Wert verglichen.
Stimmen der berechnete und der übergebene Wert nicht überein oder fehlt dieser, so wird nur eine Fehlermeldung ausgegeben.
Bugs bitte weiterhin im Ticket-System melden.
Vielen Dank, Kay!
Closed
Aber auch hier gilt, wie immer; jeder kann, niemand muss.
Ich denke, die meisten Bugs haben wir beseitigt; auch hier steht jetzt in den kommenden Tagen noch etwas Kosmetik an.
CSRF - was ist das?
vBulletin nutzt für sehr viele Aktionen (z.B. das Schreiben eines neuen Beitrags, Moderationstätigkeiten, Login, Suchfunktion, usw.) die HTTP Methode POST.
Hierbei werden in ein Formular eingegebene Dateien für den Benutzer 'unsichtbar' an den Server gesandt, d.h. sie sind in der Adresszeile nicht ersichtlich.
Um zu verhindern dass auf diese Weise von dritter Seite Daten an den Server geschickt werden (z.B. von der Website eines Angreifers) prüft vBulletin die Herkunftsadresse der Anfrage (Referer).
Erfolgt eine Anfrage von außen, d.h. wird versucht von einer anderen Webseite ein Formular abzusenden, so ist dies anhand des Referers zu erkennen - vBulletin weist die Anfrage mit einer Fehlermeldung ab.
Gelingt es jedoch einem Angreifer auf einer externen Seite unbemerkt ein Formular abzusenden und den Referer zu fälschen, so schlägt diese Prüfung fehl, die übergebenen Daten werden als 'echt' angenommen und verarbeitet.
Dies kann z.B. ausgenutzt werden um mit fremdem Berechtigungen Aktionen durchzuführen:
Ein Moderator ist im Forum eingeloggt (d.h. seine Session ist noch gültig), bewegt sich dann auf die Website des Angreifers.
Dort wird für ihn unsichtbar ein Formular abgesandt um z.B. Beiträge zu löschen..
Da dieser Vorgang (das Absenden des Formulars) durch den Browser des Moderators erfolgt, wird die Aktion im Forum mit seinen Rechten ausgeführt - die Beiträge sind weg.
Der Tatsache dass über min. 2 Webseiten (das Forum und die Wesbsite des Angreifes) eine Anfrage manipuliert wird ist auch der Name gewidmet: CSRF (oder XSRF) steht für Cross-Site Request Forgery, übersetzt etwa 'Seitenübergreifende Manipulation einer Anfrage'.
Um dies zu verhindern wurde mit vBulletin der neuesten Generation ein neues 'Sicherheits-Token' eingeführt.
Hierbei handelt es sich um einen an die Session gebundenen Zufallswert der als verstecktes Feld in Formularen mitgeführt wird - aber niemals an externe Seiten weitergegeben wird (was z.B. bei der Session durchaus der Fall sein kann).
Bei der Verarbeitung von Formulareingaben wird dieses Sicherheits-Token geprüft, d.h. auf der Serverseite berechnet und mit dem übergebenen Wert verglichen.
Stimmen der berechnete und der übergebene Wert nicht überein oder fehlt dieser, so wird nur eine Fehlermeldung ausgegeben.
Bugs bitte weiterhin im Ticket-System melden.
Vielen Dank, Kay!
Closed
Kommentar
- Status
-Anzeige-