Donnerstag, 19. Oktober 2006
Drupal Sicherheitsloch
Mein erster öffentlicher Exploit-Report: Drupal Security Fix.
Fast hätte ich es vergessen, das habe ich nämlich vor gut 12 Monaten berichtet. Eine Woche bevor Serendipity ein ähnliches Loch nach einem Userbericht innerhalb von 48 Stunden behoben hatte, und XSRF-Angriffsvektoren auch bei anderen Systemen die Runde machten.
Schade, dass Drupal so lange gebraucht hat - aber nett, das man mich per E-Mail informiert hat.
Grundsätzlich ist das alles eher eine theoretische Sache, denn XSRF-Lücken bestehen grob geschätzt bei 80% aller freien PHP-Anwendungen. Kein Grund natürlich, das nicht zu fixen. Typo3 ist übrigens nur davor geschützt weil es ein grauenhaftes Frame-Konzept hat.
Fast hätte ich es vergessen, das habe ich nämlich vor gut 12 Monaten berichtet. Eine Woche bevor Serendipity ein ähnliches Loch nach einem Userbericht innerhalb von 48 Stunden behoben hatte, und XSRF-Angriffsvektoren auch bei anderen Systemen die Runde machten.
Schade, dass Drupal so lange gebraucht hat - aber nett, das man mich per E-Mail informiert hat.
Grundsätzlich ist das alles eher eine theoretische Sache, denn XSRF-Lücken bestehen grob geschätzt bei 80% aller freien PHP-Anwendungen. Kein Grund natürlich, das nicht zu fixen. Typo3 ist übrigens nur davor geschützt weil es ein grauenhaftes Frame-Konzept hat.
Sonntag, 15. Oktober 2006
Serendipitychen
Robert wirft ein Stöckchen mit Serendipity-Content. Auch wenn ich als Mitentwickler vielleicht nicht der 100%ig-gültige Stöckchenempfänger bin, mache ich gerne mit.
Nutzt du die Blogengine Serendipity
Ja. Leidenschaftlich.
Wenn ja, was war für dich der Grund gerade diese zu wählen?
Grundsätzlich war das damals das Blog von Sebastian Bergmann. Dort fiel mir Serendipity auf, und dann auch noch bei weiteren PHP-Entwicklern. Getreu nach dem Motto "1000 Fliegen können sich nicht irren"
habe ich es dann auch ausprobiert. Da ich von den Features und einigen Implementationsweisen damals nicht ganz überzeugt war, habe ich angefangen mitzuentwickeln. Naja, und das hält jetzt knapp 3 Jahre an.
Was müsste Serendipity (oder eine andere Blogengine) anbieten (Plugin, Funktionalität, Geldpreise) damit du deine Blogengine wechseln würdest?
An dieser Stelle wohl nichts mehr. Serendipity ist grundsätzlich so "feature-complete" dass es an derzeitiger Technik wenig nicht-implementierte Möglichkeiten gibt. Und natürlich könnte ich mein Baby nie abstoßen.
Was wäre für dich ein Projekt (Dienst, Plugin, "Codeschnipsel") an dem EntwicklerInnen von unterschiedlichen Blogengines zusammenarbeiten sollten/könnten?
Grundsätzlich Anti-Spam Maßnahmen. Akismet.com geht in diese Richtung, und wird daher auch von Serendipity unterstützt. Auch der blogübergreifende Import/Export wäre etwas, wo man gemeinsame Kräfte wecken sollte.
Mein Stöckchen werfe ich weiter an Serotonic, Sebastian und Kris.
Nutzt du die Blogengine Serendipity
Ja. Leidenschaftlich.
Wenn ja, was war für dich der Grund gerade diese zu wählen?
Grundsätzlich war das damals das Blog von Sebastian Bergmann. Dort fiel mir Serendipity auf, und dann auch noch bei weiteren PHP-Entwicklern. Getreu nach dem Motto "1000 Fliegen können sich nicht irren"
habe ich es dann auch ausprobiert. Da ich von den Features und einigen Implementationsweisen damals nicht ganz überzeugt war, habe ich angefangen mitzuentwickeln. Naja, und das hält jetzt knapp 3 Jahre an. Was müsste Serendipity (oder eine andere Blogengine) anbieten (Plugin, Funktionalität, Geldpreise) damit du deine Blogengine wechseln würdest?
An dieser Stelle wohl nichts mehr. Serendipity ist grundsätzlich so "feature-complete" dass es an derzeitiger Technik wenig nicht-implementierte Möglichkeiten gibt. Und natürlich könnte ich mein Baby nie abstoßen.
Was wäre für dich ein Projekt (Dienst, Plugin, "Codeschnipsel") an dem EntwicklerInnen von unterschiedlichen Blogengines zusammenarbeiten sollten/könnten?
Grundsätzlich Anti-Spam Maßnahmen. Akismet.com geht in diese Richtung, und wird daher auch von Serendipity unterstützt. Auch der blogübergreifende Import/Export wäre etwas, wo man gemeinsame Kräfte wecken sollte.
Mein Stöckchen werfe ich weiter an Serotonic, Sebastian und Kris.
