[quote=GwenDragon,25.12.2005, 13:22]Na, schreibt doch mal eine Wiki-Seite.
Es gibt meistens schwer was zu finden im WWW - jedenfalls lesbar oder auf deutsch.[/quote]
Dann fang schon mal an ;)

[quote=Bauhaus,25.12.2005, 16:04][quote=GwenDragon,25.12.2005, 13:22]Na, schreibt doch mal eine Wiki-Seite.
Es gibt meistens schwer was zu finden im WWW - jedenfalls lesbar oder auf deutsch.[/quote]
Jepp - das könnte mehr als nur sehr hilfreich sein.
Das Thema CGI Sicherkeit ist von allgemeinem Interesse und sollte daher in jedem Falle, an oberster Stelle der Themenliste eines Perl-Forums stehen.
Ich kann auch wirklich nicht verstehen warum ich hier, wegen meiner Fragen, derart angeschossen werde.[/quote]
Naja, ob es an oberster Stelle stehen sollte... Perl wird ja nicht nur zur CGI-Programmierung verwendet...

Du wirst hier nicht wegen Deiner Fragen angeschossen. Nur haben wir hier schon etliches genannt und Deine Fragen drehen sich ständig im Kreis.

Schreib doch mal das CGI-Skript und poste es hier. Wir können dann sicher was zu einzelnen möglichen Sicherheitslücken sagen. CGI-Sicherheit ist ein weites Feld und das sicherste CGI-Skript ist gar kein CGI-Skript - ich will damit sagen, dass Sicherheitslücken überall lauern können und wenn Du 100%ig sichergehen willst, dann sollte die Webpräsenz nur aus statischen HTML-Dateien bestehen...

[quote=renee,26.12.2005, 01:34][quote=Bauhaus,25.12.2005, 15:48][quote=renee,24.12.2005, 01:56]Ich habe den Thread jetzt noch mal (auf die Schnelle) durchgeschaut und kein wirkliches Code-Beispiel bis auf den "Exploit" gefunden... und der liess vermuten, dass das CGI-Gegenstueck alles misachtet hat, was wir gesagt haben (zum Beispiel oeffnet es eine Datei, deren Namen der User festgelegt hat)...[/quote]
Dann hast Du etwas zu flüchtig gesucht ... ;)
Klick mal hier
http://board.perl-community.de/cgi-bin....7;st=90
Letzter Beitrag der Seite.[/quote]
Naja, in dem Code-Beispiel kann man aber nicht erkennen, was drumherum steht. Die Ersetzungen musst Du zum Beispiel nicht machen, wenn Du den Text in eine Datenbank schreibst (mit den Platzhaltern) oder wenn Du den Text in eine Datei schreibst und nur für die Anzeigen in einem HTML-Text benutzt.

Es kommt also immer darauf an, was Du machst. Ein einfaches system("rm -rf /") ist an sich nicht gefährlich, sonst gäbe es dieses Forum schon seit dem zweiten Tag des Bestehens nicht mehr...

Darf ich ein paar Anmerkungen zu dem Code machen??
Ist nur für die Lesbarkeit...

Außerhalb von Zeichenklassen musst Du '-' nicht maskieren, ! ist kein Metazeichen, wenn Du s~~~ benutzt, musst Du '/' nicht maskieren.

Zusätzlich wären Kommentare noch ganz praktisch (wenn Du solchen Code hier postest), damit gleich erkennbar ist, was Du damit bezwecken willst...[/quote]
OK - Das Fehlen der Kommentare hatte interOR bereits bemängelt; aber ich dachte halt dass 'Ihr' (und du schreibst ja immer wieder von 'wir'), diese relativ einfachen RegEx's denn doch verständig lesen könnt.

Im Zusammenhang mit deinem vorangegangenen Beitrag ...
nicht meine Fragen bewegen sich im Kreis - allein 'eure' Antworten haben Brummkreisel-Eigenschaften angenommen (lies mal den Thread von Beginn).

Was soll das eigentlich heißen 'wir'?
Wird hier im Forum ein Unterschied gemacht zwischen 'wir' und 'ihr'?
Wenn ja ...
wer zählt zu der 'wir' Gruppe und wer zählt zu der 'ihr' Gruppe?

Edit: Sorry, aber Arroganz und Überheblichkeit die nichts produktives zum Thema beiträgt, regt mich ganz fürchterlich auf.
Sicherlich ist niemand von'euch' in irgendeiner Weise verpflichtet zum Thema beizutragen - aber allgemeines BlaBla abzusondern ist auch nicht unbedingt eine direkte Verpflichtung.\n\n

<!--EDIT|Bauhaus|1135714917-->

also, ich hab mal versucht den thread als ganzes zu überfliegen. gibt's jetzt noch eine konkrete frage, oder möchtest du dich nur noch ein wenig über andere forennutzer aufregen? wenn du produktive antworten haben willst, solltest du konkrete fragen stellen. wenn noch eine oder mehere fragen offen sind, könntest du die ja noch einmal gut sortiert wiederholen, ich finde die übersichtlichkeit ist mit der zeit etwas abhanden gekommen. evtl. solltest du auch erwägen zu einzelthemen einen neuen thread aufzumachen.

btw. wer ist interOR??? der user muss mir entgangen sein.

[quote=Taulmarill,27.12.2005, 22:30]btw. wer ist interOR??? der user muss mir entgangen sein.[/quote]
pq... warum auch immer!

Ich mische mich mal hier ein. In diesem Thread habe ich allein nur durch das Mitlesen wieder einige interessante Details kennengelernt.

Ich wil nicht sagen, daß es leicht ist, das richtige Modul aus dem CPAN herauszupicken. Aber ich habe gelernt, daß es 10x mehr Sinn macht, sich stundenlang mit vorhandenen Modulen zu beschäftigen, als selbst Zeit zu opfern und eine halbherzige, speziell zugeschnittene Lösung zu produzieren, die man dann auch noch selbst pflegen muß (huuu). Wenn nötig ist ein konstruktiver Bug-Report schnell geschrieben. Außerdem lernt man Perl erst dann richtig, wenn man sich mit den vorhandenen Modulen intensiv auseinandersetzt. Schnell lernt man dann, warum man etwas gerade so und nicht anders macht, auch wenn es auf den ersten Blick überhaupt keinen Sinn macht.

Hier im Forum blamiert man sich nicht, auch wenn man wirkliche Fehler postet. Also seid ein wenig toleranter und fühlt Euch andererseits nicht gleich persönlich angegriffen, wenn verschiedene Ansichten aufeinanderprallen. Das ist normal und nicht jeder findet immer den richtigen Ton. Deswegen muß der Thread nicht gleich eskalieren.

Und noch eins zur Sicherheit. Ich habe immer wieder erlebt, daß man grundsätzlich davon ausgehen kann, daß man so verworren manchmal garnicht denken kann, was in der Realität dann wirklich passiert. Es ist immer nur eine Frage der Zeit, bis ein Fehler/Sicherheitsloch zum realen Problem wird.

Man kann mit Perl so hervorragend validieren und so viele Internas sorgen dafür, daß man schnell und vor allem gezielt auf Mängel aufmerksam gemacht wird.

In letzter Zeit entstanden massenhaft Module, die für hohe Codequlität und erstklassige Tests sorgen. Sicherheit heißt auch, daß man zuläßt, sich von penetranten Meckerprogrammen überwachen zu lassen. Denn das Problem sitzt bekanntlich immer zwischen Tastatur und Bildschirm.

[quote=esskar,27.12.2005, 23:27][quote=Taulmarill,27.12.2005, 22:30]btw. wer ist interOR??? der user muss mir entgangen sein.[/quote]
pq... warum auch immer![/quote]
;) weil du zwischen den Buchstaben 'O' und 'R' mit tödlicher Sicherheit allein ein 'P' und 'Q' vorfinden wirst

Und ...
weil pq (jedenfalls in diesem Thread) ständig die Meinungen gewechselt hat - "mach's so OR so" - OR - "mach's doch besser so OR so" - wie ich schon schrieb 'Brummkreisel' :)

Aber gut ...
die allgemeine Verwirrung und Unschlüssigkeit, zeigt doch sehr deutlich dass niemand in der Runde (ich zähle mich durchaus dazu) eine wirklich klare Vorstellung von sicherheitsdienlichen Maßnahmen - und schon gar nicht von sicherheitsdienlichem Code hat.

Wie gehen wir nun weiter vor?

Wurde schon vorgeschlagen. Jemand fängt eine Wiki-Seite an und alle anderen können ihren Senf dazugeben. Eine Wiki-Seite ist IMHO wesentlich sinnvoller als ein ungeordnetes Forum-Thema.

[quote=steffenw,28.12.2005, 00:22]Ich wil nicht sagen, daß es leicht ist, das richtige Modul aus dem CPAN herauszupicken. Aber ich habe gelernt, daß es 10x mehr Sinn macht, sich stundenlang mit vorhandenen Modulen zu beschäftigen, als selbst Zeit zu opfern und eine halbherzige, speziell zugeschnittene Lösung zu produzieren, die man dann auch noch selbst pflegen muß (huuu).[/quote]
Sehr richtig angemerkt!

Immerhin hatte ich im Startbeitrag deutlich hevorgehoben dass ich die sattsam bekannten Methoden (Module) bereits einsetze.
Im weiteren Verlauf des Threads hat man mir dann allerdings zu verstehen gegeben, dass dies nicht ausreicht und ich von daher eigene Strukturen zur Überprüfung von Usereingaben zu entwickeln hätte.
Gut ...
das habe ich (zumindest im Ansatz) getan und hier vorgestellt.
Was nun?

[quote=ptk,28.12.2005, 00:30]Wurde schon vorgeschlagen. Jemand fängt eine Wiki-Seite an und alle anderen können ihren Senf dazugeben. Eine Wiki-Seite ist IMHO wesentlich sinnvoller als ein ungeordnetes Forum-Thema.[/quote]
Hmmm ...
wenn jemand etwas substantielles ins Wiki zu schreiben hätte, dann wäre es schon hier (zumindest ansatzweise) zu lesen gewesen.