On 9/6/11 5:25 PM, Martin Schoenbeck wrote:
Hallo Rainer,
Rainer Schleevoigt schrieb:
Für mich ist Nachhaltigkeit und Qualität eine Grundfeste und ich bin
erschüttert, womit Geld gemacht wird.
Ich habe mal bei einem Verein eine Website übernommen, die war auch von
einer Agentur erstellt (nicht TYPO3), da konnte man eigene Termine
eintragen, die dann noch freigeschaltet werden mußten. Das Insert-Statement
dafür stand in einem unsichtbar geschalteten Browserfeld und wurde nach
Rücksenden der Daten ohne weitere Überprüfung ausgeführt. Da mußte ein
Angreifer noch nicht mal eine SQL-Injection basteln.
Es gibt nichts, was man nicht noch dümmer machen könnte.
Georg hat natürlich Recht, die Vorgeschichte ist oft Anlass. Ichversetze
mich nur in die Rolle des AG, der Geld ausgeben möchte und auch vllt
genau formuliert, was er inhaltlich erwartet, geht zu einer TYPO-Agentur
(gut!) und bekommt dann einen Etikettenschwindel vorgelegt. Ich meine,
wenn ich die Navi ins Template fest code, dort auch die JS-Sachen fest
einbinde und dann den gesamten Inhalt aus tausenden php-Schnipseln baue,
die dann munter nativ auf die DB zugreifen, dann halte ich das für frech
oder eben naiv.
Sicherheit? „Ist doch https“ –das habe ich tatsächlich mal gehört, als
ich feststellte, das eben alles ging (SQL-Injection + Ausführung von
JS-Code aus Formularelementen).
Was macht das? es kann nachhaltig den Ruf unserer Branche schaden. Das
macht mir Angst ...
Rainer
Gruß Martin
--
Dipl.-Ing. Rainer Schleevoigt
Webmasterei Hamburg
iPhone/Android Developer
Certified TYPO3 Integrator
22303 Hamburg
Novalisweg 10
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
