CwCity Board >>> Allgemeines >>> Umfragen >>> CwOffice NP Beta 1
CwOffice NP Beta 1

Seiten: 1
jhamisch
Verfasst am: 07.03.2003 um: 21:15 Uhr
 
Cw Aufsteiger
Aufsteiger
Beiträge: 57
SPAM:
12% Spam
hat sich von euch jemand schon die CwOffice NP runtergeladen??


was sagt ihr dazu???

ich denke mal das fehlende install script erstellt die datenbankstruktur...

 



tom-nachdenk
Verfasst am: 09.03.2003 um: 17:02 Uhr
 
Cw Professor
Grand Master
Beiträge: 2477
SPAM:
0% Spam
Ja, ich habs runtergeladen und dann endlich unter Windows entpackt bekommen.

Leider erzeugt das Install-Script mehr als nur die Datenbank, das ganze scheitert schon an der
Funktion session_start() die zwar an zwei stellen aufgerufen wird, aber leider nirgends definiert ist.

So wie die Sourcen angeboten werden sind sie ziemlich nutzlos, weil es auch keine Dokumentation der Datenstrukturen und Schnittstellen gibt. Wer nur eine Community-Software braucht, für den mag es angehen die 15 Euro zu investieren, ich hab keine Vorstelleung was es da kostenlos bzw. unterhalb von 15 Euro so gibt ...

 

Frey
Verfasst am: 09.03.2003 um: 17:49 Uhr
 
Cw Board Rocker
Da Board Rocker
Beiträge: 1639
SPAM:
0% Spam
Ich wollte den Source nur freigeben weil ich dadurch mehr fehlerberichte von den Usern bekomme!

Ausserdem denke das in diesem Script für manch einen Hilfen eingeaut sind!

MFG Frey

MFG Frey
 

tom-nachdenk
Verfasst am: 09.03.2003 um: 19:25 Uhr
 
Cw Professor
Grand Master
Beiträge: 2477
SPAM:
0% Spam
Hm, also wenn Du mich fragst wirst Du wohl nicht allzuviel feedback erhalten, weil statisches Code-Review ist zwar möglich, aber dann doch sehr aufwendig, und ich glaube kaum das sich jemand die Mühe macht, so ganz ohne die Möglichkeit den Code dann auch zu benutzen ...

Ich bin mir nicht sicher, ob es da eine Sicherheitslücke bei der Passworterzeugung gibt. Ihr nehmt zwar crypt, aber eine reine Erzeugung als Zufallszahl dürfte sicherer sein. Bei crypt kommt es nämlich auf das Verfahren an, was php ja nach betriebssystem benutzt. Und das Standard-Unixverfahren mit 2 byte-Salt stellt da man den usernamen kennt keine wirkliche Hürde dar, die anderen Verfahren sind da zugegebener Maßen schwieriger.

Und dann solltet ihr vielleicht die Passwörter verschlüsselt speichern, damit für den Fall das jeamnd Datenbank klaut nicht die Passwörter kennt.

 

jhamisch
Verfasst am: 10.03.2003 um: 18:17 Uhr
 
Cw Aufsteiger
Aufsteiger
Beiträge: 57
SPAM:
12% Spam
jau, das ist denk mich mal schneller passiert als einem lieb ist...
dann fangen wir wieder von vorne an..

 

Frey
Verfasst am: 08.04.2003 um: 13:44 Uhr
 
Cw Board Rocker
Da Board Rocker
Beiträge: 1639
SPAM:
0% Spam
  
Zitat von tom-nachdenk

Hm, also wenn Du mich fragst wirst Du wohl nicht allzuviel feedback erhalten, weil statisches Code-Review ist zwar möglich, aber dann doch sehr aufwendig, und ich glaube kaum das sich jemand die Mühe macht, so ganz ohne die Möglichkeit den Code dann auch zu benutzen ...

Ich bin mir nicht sicher, ob es da eine Sicherheitslücke bei der Passworterzeugung gibt. Ihr nehmt zwar crypt, aber eine reine Erzeugung als Zufallszahl dürfte sicherer sein. Bei crypt kommt es nämlich auf das Verfahren an, was php ja nach betriebssystem benutzt. Und das Standard-Unixverfahren mit 2 byte-Salt stellt da man den usernamen kennt keine wirkliche Hürde dar, die anderen Verfahren sind da zugegebener Maßen schwieriger.

Und dann solltet ihr vielleicht die Passwörter verschlüsselt speichern, damit für den Fall das jeamnd Datenbank klaut nicht die Passwörter kennt.


Hmm das mit dem crypt
es wird mit einem code generiert also so:



$code = "485ZhdbTb"; // Bitte bei jeder CwOffice version verändern (vom Admin)
crypt("$pw","$code");




MFG Frey
 

 
Seiten: 1

Folgende User sind hier gerade aktiv:
-

ANZEIGE