[php] =?ISO-8859-1?Q?Re:_[php]_Wie_meldet_man_Sicherheitsl=FCcke=3F?=

[Hans Theo Mislisch]

> Eine bloße Mail an den Autoren bringt ja wenig (habe ich aber bereits
> gemacht), ein Posten an die Liste eröffnet möglicherweise gerade dadurch
> Mißbrauchsmöglichkeiten. Das Programm hat eine Unterseite bei
> sourceforge, sollte ich da den Bug melden, und alle Listenmitglieder,
> die "sourceforge-Programme" benutzen, gehen diese durch und gucken, ob
> ein Bug-Report vorliegt?
> Wie geht man da normalerweise vor?

Hallo Andre,

nun, wenn einer das von Dir erwähnte Programm für sich oder seine Kunden
nutzt und bei sourceforge gibts eine Bugreport, dann ist die Wahrscheinlichkeit
dass ein Spitzbub das recherchiert und Blödsinn macht, viel größer, als wenn
Du das Problem schilderst und alle hier in der Liste beheben den Bug in den
eigenen Anwendungen. Oder meinst Du, es suchen nun alle bei Sourceforge nach
Bugreports, nur weil Du eine eventuelle Sicherheitslücke entdeckt hast?

Vorrausgesetzt es ist überhaupt ein Hole, denn jeder testet seine Sachen ohnehin.

(hoffentlich).

Wenn man das Forum "Phorum", als Beispiel, nur so installiert wie sie geliefert
wird, kann man trotz Passwortschutz in den Adminteil einbrechen. Wenn man das aber
schon bemerkt hat, kann man Abhilfe schaffen.

Liebe Grüße
Theo