Boardunity & Video Forum
Seite 2 von 2 < 1 2
40 Beiträge dieses Themas auf einer Seite anzeigen

Boardunity & Video Forum (https://boardunity.de/)
-   Forensoftware (https://boardunity.de/forensoftware-f5.html)
-   -   Release von vBulletin 3.0.4! (https://boardunity.de/release-vbulletin-3-0-4-a-t2696.html)

MrNase 19.01.2005 14:16
Ich habe jetzt innerhalb von kurzer Zeit 3 Updates machen müssen von der jedes als 'wichtig' eingestuft wurde.. Jelsoft sollte sich mal jemanden leisten der die Software auf Sicherheitslücken überprüft.
Es kann einfach nicht sein, dass ein Kunde dazu gezwungen wird die offensichtlichen Versäumnisse durch ein Update auszubügeln. Warum konnte die 3.0.3 nicht schon sicher sein?

Es will mir nicht in den Kopf und meine Unmut wächst zunehmend.

Metro Man 19.01.2005 15:52
un nun 3.0.6 langsam kotzt es mich ehrlich gesagt auch an

Acyd Burn 19.01.2005 16:03
Software wird nie sicher sein. Punkt.

Du kannst noch so intensiv nach Sicherheitslöchern suchen, du wirst immer welche übersehen, oder es werden neue, durch den Fortschritt bedingte Löcher entdeckt. Vor 2 Jahren wusste auch noch keiner das es mal HTTP Response Splitting attacks geben wird. Dann solche Löcher, die bedingt durch Bugs in PHP sind (z.B. der letzte Bug mit dem NUL-Byte).

Wenn ich aber Code sehe, der die Variablen nicht validiert (phpBT ist so ein Beispiel) und bei register globals total offen ist, dann kann man sagen das die Programmierer keine Ahnung von Sicherheit haben.

Mich kotzt es aber an, wenn Leute lauthals schreien "Ihr habt keine Ahnung von Sicherheit", "Your software was not build with security in mind"... diese nonsense-Kommentare kommen meist von denen die keine Ahnung von dem haben was heutzutage an Attacken möglich ist, wie verwurzelt es sein kann... Sicherheit in PHP-Produkten ist nicht mit einem intval() gewährleistet, es gehört mehr dazu, und genau so sind entdeckte Lücken in vB, IPB, phpBB etc. auch meist nicht ein simples: "Hey, da ist ein $_GET['id'] in sql query" - sowas sollte heutzutage überhaupt nicht mehr auftauchen.

<rant over />

Zeus 19.01.2005 16:06
Mich störts ehrlich gesagt überhaupt net, ich spiels nacher kurz drauf, dauert ja keine 5 Minuten.

Die sollen lieber einmal zu viel nen Update rausbringen als einmal zu wenig.

Metro Man 19.01.2005 16:16
Zitat:
Zitat von Zeus
Mich störts ehrlich gesagt überhaupt net, ich spiels nacher kurz drauf, dauert ja keine 5 Minuten.

Die sollen lieber einmal zu viel nen Update rausbringen als einmal zu wenig.
Das ist richtig aber naja habe auch wenig probs gerade weil cih kaum hacks drinne habe aber einige anpassungen werde ich wohl doch machen müssen.

Lian 19.01.2005 22:56
Das gute ist: Einspielen der Security Patches geht flott über upload jeweils einer Datei. Zeitaufwand tendiert gegen null ;)

Wann der upgrade zu 3.0.x passieren soll kann jeder selbst entscheiden.

MrNase 19.02.2005 23:12
So, die 3.0.7 ist da..

http://www.vbulletin.com/forum/showthread.php?t=130591

Jan Stöver 19.02.2005 23:29
Ich würde mit einem Update wieder ein paar Tage warten und bis dahin die Option 1 für das Sicherheitsloch wählen ...

Aber die Funktion dürften eh nur wenige Leute aktiv haben.

Frederic Schneider 20.02.2005 00:46
Das ganze auf Deutsch:
-> http://www.vbulletin-germany.com/for...ad.php?t=15961

Zumindest reagiert Jelsoft recht schnell, mehr können sie eh nicht machen. Und die Kunden haben ja - doch mehr als gedacht - Fehler aus der Software draussen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:13 Uhr.
Seite 2 von 2 < 1 2
40 Beiträge dieses Themas auf einer Seite anzeigen

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25