Nobody’s perfect

Nach dem Artikel über die DENIC-Passwort-Verschlüsselung erhielt ich eben von einem Blogleser einen Hinweis auf bestehende XSS-Lücken auf unserer Website.

Die Fehler wurden selbstverständlich umgehend behoben. Die betroffenen Scripte stammten aus einer Zeit, zu welcher der Begriff “XSS” noch völlig unbekannt war. Aber das ist eigentlich auch keine akzeptable Ausrede. Dafür ein Anlass, die ganzen alten Scripte mal wieder zu prüfen…

3 Bemerkungen zu “Nobody’s perfect”

  1. Der Adminblogger

    “Dieses Beispiel erlaubt allen Benutzern mit der IP-Adresse 123.45.67.89 einen Zugriff ohne Passwort-Eingabe. Der Eintrag »Require user GeheimesLogin« schreibt vor, welcher Benutzername zum Zugriff berechtigt ist;”

    unter “Komplexe Zugriffssteuerung” auf Eurer Seite ist aber auch nicht frei von Fehlern :)

    Gruß,
    Marcel.

  2. Klaus Keppler

    Hallo Marcel,

    vielleicht stehe ich auf dem Schlauch… ich sehe da keinen Fehler.

    Mit der IP-Adresse 123.45.67.89 kann man ohne Passwort auf das Verzeichnis zugreifen, mit jeder anderen IP erhält man eine BASIC-AUTH, welche dann nur den Benutzer “GeheimesLogin” akzeptieren würde (mit dem entsprechenden Passwort natürlich).

  3. Der Adminblogger

    Ja, damit hast Du Recht. Aber genau das steht nicht in dem von mir zitierten Absatz.

    Es fehlt im letzten Satz der Zusatz “wenn der Zugriff von einer anderen IP als 123.45.67.89 erfolgt”.

    Ansonsten klingt es nämlich so, als sei der Zugriff von 123.45.67.89 ohne Passwort möglich (1. Satz) aber gleichzeitig könnte nur der User “GeheimesLogin” zugreifen (2. Satz).

    Gruß,
    Marcel.

Einen Kommentar schreiben