 |
2018,12,14,15,2136791
|
Sortieren nach:
Datum - neue zuerst |
Datum - alte zuerst |
Bewertung
|
|
⇤
⇠
|
85 Beiträge Seite 3 von 4
1 2 3 4 |
⇢
⇥
|
|
|
|
|
... will ich kostenfrei meine Zeit aufwenden, um ihm dabei zu helfen, den Service besser zu machen. Das Schreiben dieses Posts kostet mich auch immerhin 30-45 Minuten meines Sonntags nachmittags. und das muss man auch wieder im öffentlichen Teil des Forums tun? Eine private Email an Jan tut's da nicht? nein? Unglaublich, diese Selbstdarstellung, allen voran Tomas Jakobs als Obernarzist dieses Forums und dann noch einige weitere...
|
|
|
|
|
Hi Jo, vorab: Hier steht nur, wo ich nicht mit Dir übereinstimme: 1) Referrer-Policy. Es war schon immer guter Brauch im Internet, beim Besuch eines neuen Webservers zu sagen: "Guten Tag, ich komme auf Empfehlung von hier." Es ist ja auch durchaus spannend für z.B. den Betreiber eines Flugplatzrestaurants, zu sehen, in welchem Thread hier im Forum seine Bude gelobt wurde. Und etwa genauso alt sind Anonymisierungsproxies für die Leute, die das nicht wollen. Oder Browser-Erweiterungen. Warum muss man hier irgendetwas irgendwem empfehlen, mit dem Unterton, es gäbe ein "besser" oder "schlechter"? Wir reden hier nicht von "scharfen" Facebook-Like-Buttons. 2) Jigsaw ist alt-ehrwürdig, und es ist ganz offenbar securitymäßig in Ehren ergraut. Ich habe mir die Mühe gespart, nach Sicherheits-Problemen zu googlen, das hat mit Sicherheit TJ gemacht, und wenn eine Software von einer renomierten Organisation wie dem W3C unverändert ohne Warnhinweise zum Download angeboten wird, ist der Vergleich von Tobias bezüglich "Stand der Technik" durchaus passend: Warum sollte es broken sein? Jigsaw ist eingeschlafen, weil sich "die Welt" eben für die Java-Servlet-Spec entschieden hat. So what? Ich setze DJBs tinydns in Version 1.05 aus dem Jahre 2001 ein. Läuft, die letzten Patches stammen von Fefe für einfacheres IPv6-konfigurieren. Was soll die Empfehlung, auf Tomcat etc. zu gehen? Damit wäre doch Update-Hektik angesagt, und alle 2 Jahre ein Major-Update.
|
|
|
|
|
Die Sachen, die ich da aufgelistet habe, sind eben gerade nicht Security-relevant. Das meiste wurde abgesehen davon bereits vorher erwähnt, ich habe lediglich mal versucht die Wogen ein wenig zu glätten und technische Lösungen aufzuzeigen. Und vielleicht interessiert es den ein oder anderen ja auch einfach so. Dieser ständige Vorwurf der Selbstdarstellung wird übrigens auch nicht dadurch richtiger, dass man ihn ständig wiederholt. Ist für dich jeder, der etwas öffentlich postet ein Selbstdarsteller, oder nur, wenn er nicht deine Meinung trifft?
|
|
|
|
|
Halleluja, eine sachliche Antwort! Klasse, freut mich! Zu 1) Stichhaltiges Argument. Ich denke die ganze Referrrer-Thematik ist in den letzten Jahren auch deswegen so hochgekocht, weil die Nutzung von Tracking-Diensten, Zählpixeln usw... extrem zugenommen hat. Außer Google Analytics gibt's auf PuF keine externen Ressourcen, daher ist das hier nicht ganz so relevant. Um den von dir genannten Use-Case abzudecken böte sich dann "strict-origin-when-cross-origin" an. Dann wird an externe Stellen nur die Domain weitergegeben, und nicht die ganze URL, die ggf. sensible Informationen enthält (wie z.B. früher ganz gern die PHP Session ID, als noch viel mit GET gearbeitet wurde). Zu 2) Gegen den Jigsaw 2.2.5, der aktuell verwendet wird, sehe ich hauptsächlich 2 Argumente. - Nicht aktueller Patch-Stand, im Changelog auf 2.2.6 ist u.A. von "More SSL and servlet related patches from Thomas Kopp." die Rede. Natürlich muss das nicht gleich ein Einfallstor sein, aber wenn es jemand ausnutzen will(!), dann wird es ihm hier natürlich vergleichsweise leicht gemacht. Ein Diff auf den Source Code und wahrscheinlich tut sich da das ein oder andere Einfallstor auf.
- Das W3C schreibt selbst: "the Jigsaw server is a premier experimental platform for W3C and the Internet community." Jigsaw ist als Experimentierplattform ins Leben gerufen worden. Nichts desto trotz hat er wohl als Webserver die letzten 10-15 Jahre gut funktioniert. Wahrscheinlich war er 2003 auch der einzige, der die PuF-Software ausführen konnte. Aber die Welt hat sich seitdem natürlich weitergedreht. Daher meine Empfehlung, doch mal neuere alternativen zu prüfen, die den Code im besten Falle ohne Änderung ausführen können.
Bevor Wolfgang jetzt noch Bluthochdruck bekommt, belassen wirs aber vielleicht lieber dabei.
|
|
|
|
|
- dies ist ein Forum zum Thema "Pilot und Flugzeug"; übrigens kostenlos!
- der Forenbetreiber hat in einem Beitrag darauf hingewiesen, warum technische Probleme bei der Nutzung des kostenlosen Sevices aufgetreten sind und weshalb
- es erübrigt sich schlicht, DIES in dem Forum (für Piloten und Flugzeuge) zu diskutieren.
- wer aus fachlichen oder sonstigen Gründen Kritik am Webauftritt oder der IT des Unternehmens oder über deren Preispolitik oder über das Verhalten der Sekretärin oder sonst was üben will kann dies tun, indem er die Geschäftsleitung auf einem der üblichen Kanäle nicht öffentlich kontaktiert,
ganz sicher aber haben solche Beiträge NICHTS in der Forumsdiskussion eines Forums mit dem Thema "Pilot und Flugzeug" zu suchen!
|
|
|
|
|
Was Du schreibst, hört sich plausibel an, ist es aber nicht. In jedem Forum ist zurecht auch die Technik des Forums Bestandteil der Diskussionen. Genauso, wie unser Genörgel über den Bilder-Upload per Flash ja auch irgendwann erhört wurde und seitdem der Bilder-Upload funktioniert, wenn man Jpeg als Bildformat einsetzt. Natürlich gehört diese Diskussion hierhin, in höflicher Form, die Johannes wahrt. Richtig ist aber ebenso, dass alles, was rechtlich oder sicherheitstechnisch problematisch ist, zurecht direkt und nicht öffentlich an den Forumsbetreiber gemeldet werden sollte.
|
|
|
|
|
ganz sicher aber haben solche Beiträge NICHTS in der Forumsdiskussion eines Forums mit dem Thema "Pilot und Flugzeug" zu suchen! Man kann nur froh sein, dass es hier deutlich gelassener zugeht, als manche "Forenpolizisten" es gerne hätten. Manche Abschweifungen sind zugegebenermaßen nervig, manche interessant. Und nach meinem Empfinden hat Johannes auf einer deutlich sachlicheren Ebene seine Vorschläge vorgetragen und erläutert, eventuell auch intendiert zur Diskussion durch andere Teilnehmer gestellt. Dass man diese (wie bei einer Mitgliederversammlung vorgestellten) Vorschläge mit unsachlicher Kritik ("Die Wandfarbe ist häßlich!" - analog zur Sekretärin) gleichsetzt, ist eigens ziemlich unsachlich. Auch von mir vielen Dank an Jan Brill für das Engagement und seine Sachlichkeit. Anderen wäre wahrscheinlich schon längst der Kragen geplatzt.
|
|
|
|
|
100% Zustimmung. Und: ich finde das Forum super. Tatsächlich ist es relativ ausgewogen zwischen Trollen und Blockwarten. (die TJ-Basher nerven genauso wie TJ selber)
|
|
|
|
|
Ich antworte dem letzten Beitrag. Ich muss mich nun jedesmal wieder anmelden, dies obwohl ich bei meinem Cookietool die Domain auf die Whiteliste gesetzt habe. Ist das normal? Windows 10/Firefox 64.0/Addon CookieAutodelete Danke für eine Rückmeldlung Roland
|
|
|
|
|
Hallo Jan, Ich finde es klasse dass Du Dich um Deine Website bzw. unser Forum so gut kuemmerst, es am Laufen haelst und alles Dir moegliche tust um es einigermassen Sicher zu halten. Zudem sprichst Du davon und tust kund was und wie Du es tust - damit hast Du einigen anderen Websitebetreibern einiges Voraus. Fehlerfreie Software gibts nicht soweit ich weiss und wenn man denkt man hat alle Luecken zu, ist es nur eine Frage der Zeit bis diese auch gehackt sind. But that should be common sense by now... Moechte mich gar nicht explizit gegen jemand stellen hier - aber wenn's jemandem (der ja eh alles richtiger und besser kann als andere) im Forum nicht gefaellt, dann muss er ja auch nicht daran teilnehmen...
|
|
|
|
|
Ich antworte dem letzten Beitrag. Ich muss mich nun jedesmal wieder anmelden, dies obwohl ich bei meinem Cookietool die Domain auf die Whiteliste gesetzt habe. Ist das normal? Windows 10/Firefox 64.0/Addon CookieAutodelete Ich finde euer Hin und Her wirklich auch interessant... Trotzdem die Frage: Gibt es noch andere, welche sich bei jedem Besuch anmelden müssen?
|
|
|
|
|
Ja ich, auf dem Smartphone (Android) auch. P.S.: Zugang über Google Chrome. Mit Firefox und IE auf dem PC aber ohne Probleme.
|
|
|
|
|
Ich auch (Desktop/Firefox).
|
|
|
|
|
Bei mir unter Android bleibt die Anmeldung erhalten.
|
|
|
|
|
Bei mir (Android) muss ich mich auch nicht dauernd anmelden...
|
|
|
|
|
Also ob jemand meinen Beitrag vom 15. Dezember gelesen hätte, wo ich den Angriffsvektor mit Bildupload und EXIF Daten beschrieben habe, hier angewendet auf WP: https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/ told you so... nicht ob sondern wann, das ist die Frage...
|
|
|
|
|
@Jan Brill: Ich hätte hier zwei SQL-Injections für die PuF Website. Wie sind die Überlegungen hinsichtlich Bug Bounty in der Zwischenzeit gediehen?
|
|
|
|
|
Schlechter Zeitpunkt; ich glaube, Jan ist aktuell nicht in der Stimmung, einem Forum, das er nicht lesen mag, auch noch Preisausschreiben hinterherzuwerfen. Vorschlag: 2 SQL-Insertion-Bugs => 2 Kisten handelsübliches Bier von mir Kommt per Paypal, sobald Jan bestätigt, dass Du ihm die Bugs zugeschickt hast.
|
|
|
|
|
Verrechne es doch einfach mit der Nutzungsgebühr die Du schon seit Jahren nicht zahlst! Geld verlangen zu wollen von einem Forumsbetreiber dessen Service ich schoin seit Jahren kostenfrei nutze käme mir eher seltener in den Sinn...
|
|
|
|
|
Verrechne es doch einfach mit der Nutzungsgebühr die Du schon seit Jahren nicht zahlst! Geld verlangen zu wollen von einem Forumsbetreiber dessen Service ich schoin seit Jahren kostenfrei nutze käme mir eher seltener in den Sinn... Dann hast Du das Internet wohl noch nicht begriffen. Wenn ich die ganzen Werbebanner links und rechts des PuF Forums sehe, glaube ich nicht, daß ich derjenige bin, der etwas für das Forum zahlen sollte. Im Gegenteil: Ich empfinde es höchst befremdlich als PuF Abonnement doppelt und dreifach bezahlen zu müssen (mit Daten und Tracking) oder mit Werbung belästigt zu werden.
|
|
|
|
|
... bin gespannt und lernbereit ;-) Bounty gibt's bei einem kostenlos angebotenen Produkt natürlich keine, jedenfalls nicht von mir.
|
|
|
|
|
Okay schlechter Zeitpunkt das kann sein. Da hast Du Recht. Mir ist gar nicht bewusst gewesen, daß es im Nachbar-Thread so heiß herging. Ganz ohne Umkehrkurven sogar.
|
|
|
|
|
Du hast gerade einfach kommentarlos eine Email bekommen.... Wie bei Florian vorhin schon angemerkt... ich empfinde es als sehr befremdlich doppelt und dreifach für etwas bezahlen zu müssen... denn kostenlos ist es mitnichten. Denn dann könnten die Werbebanner und das Tracking weg, oder?
|
|
|
|
|
Du nutzt es doch freiwillig, wirst doch nicht gezwungen. Du kannst bei RTL abschalten, wenn Dich die Werbung stört, genauso hier
|
|
|
|
|
> Im Gegenteil: Ich empfinde es höchst befremdlich als PuF Abonnement doppelt und dreifach bezahlen zu müssen (mit Daten und Tracking) oder mit Werbung belästigt zu werden. Du zahlst für's Abo, dass garantiert auf trackingfreiem Papier auch an die Adresse Deiner verstorbenene Urgroßmutter im gleichen Wohnhaus zugestellt würde - das Abo hat offiziell nichts mit dem Forum zu tun. Bleibt die Nutzung des Forums an sich: GoogleAnalytics schmeichelt geringfügig das Ego des Admins (neben den Verbesserungsmöglichkeiten aus der Erkenntnissen). Ansonsten ist das PuF-Forum ziemlich datensparsam; insbesondere, wenn ich es mit den Seiten vergleiche, die Geld mit den Seiten an sich verdienen wollen. Dass die Werbung hier so viel bringt, dass auch nur die Stromkosten für den Server reinkommen, halte ich für fraglich.
|
|
|
|
|
⇤
⇠
|
85 Beiträge Seite 3 von 4
1 2 3 4 |
⇢
⇥
|
|
|
|
|
|
|
|
|
