dafuer sorgen, dass die Seite auch tatsaechlich besucht werden. Dazu gibt es
andere Methoden, die hier den Rahmen der Datei sprengen wuerden.
-Aber nun zum eigentlichen Thema zurueck. Nehmen wir mal an, das Script käme ohne
-dem besagten Sicherheitscode.
+Aber nun zum eigentlichen Thema zurueck. Nehmen wir mal an, das Script kaeme
+ohne dem besagten Sicherheitscode.
-Die Betrueger benutzen dann ein Programm, dass die URL genau nachbilden kann, die
-aufgerufen wird, wenn die Zeit abgelaufen ist und die Punkte verguetet werden
-(worum es den Fakern geht). Es wird also nicht das Frameset mit der beworbenen
-Seite unten und oben das Zeit-Frame aufgerufen, sondern nur die Gutschrift-Seite.
+Die Betrueger benutzen dann ein Programm, dass die URL genau nachbilden kann,
+die aufgerufen wird, wenn die Zeit abgelaufen ist und die Punkte verguetet
+werden (worum es den Fakern geht). Es wird also nicht das Frameset mit der
+beworbenen Seite unten und oben das Zeit-Frame aufgerufen, sondern nur die
+Gutschrift-Seite.
Ohne Code in der URL und Code im Muster-Bild ist dies kein Problem.
Scriptes "stirbt".
Diese Grundsicherheit des Script kann nicht deaktiviert werden (ausser Sie sind
-verrueckt genug und loeschen die Sperren aus jedem Script, selbstverstaendlich ist
-dann keine Sicherheit mehr gewaehrt und jeglicher Support-Anspruch verfallen).
+verrueckt genug und loeschen die Sperren aus jedem Script, selbstverstaendlich
+ist dann keine Sicherheit mehr gewaehrt und jeglicher Support-Anspruch
+verfallen).
4. SQL-Injektionen und XSS-Attacken
-----------------------------------
(laden Sie sich am Besten immer die aktuellsten Patches herunter!) sind nun
entsprechende Zeilen aus der inc/db/lib-mysql3.php (Funktion SQL_QUERY_ESC)
entfernt und sollten nicht mehr angreifbar sein. Der generierten SQL-Befehl
-wurde vor der Ausfuehrung nochmals "uebersetzt", also alle
+wurde vor der Ausfuehrung nochmals "uebersetzt", also alle
sicherheitsgefaehrdenen Zeichen wieder eingebaut. Zudem existiert im Script
inc/libs/security_functions.php am Ende des Scriptes ein Mechanismus, der
XSS-Attacken verhindern soll (und es auch gut getan hat).
---------------
Gleich wie die URL-Sperre URLs vor doppelter Bewerbung "schuetzt", so schuetzt
-auch die Profilsperre das Mitgliederprofil vor erneutem Editieren innerhalb einer
-bestimmten Zeit. Zudem arbeiten beide Sperren "Hand-In-Hand", was bedeutet, dass
-sobald ein Mitglied eine Mail gebucht hat, fuer eine gewisse Zeit sein Profil
-nicht mehr aendern kann. Auch diese Sperre gilt den Betruegern, die nach dem
-Versand ihren Empfang auf 0 stellten und vor dem Versand (vor 00:00 Uhr) ihn
-hochstellten, um zu versenden. Folglich konnten die anderen Mitglieder weniger
-empfangsbereite Mitglieder erreichen.
+auch die Profilsperre das Mitgliederprofil vor erneutem Editieren innerhalb
+einer bestimmten Zeit. Zudem arbeiten beide Sperren "Hand-In-Hand", was
+bedeutet, dass sobald ein Mitglied eine Mail gebucht hat, fuer eine gewisse
+Zeit sein Profil nicht mehr aendern kann. Auch diese Sperre gilt den
+Betruegern, die nach dem Versand ihren Empfang auf 0 stellten und vor dem
+Versand (vor 00:00 Uhr) ihn hochstellten, um zu versenden. Folglich konnten die
+anderen Mitglieder weniger empfangsbereite Mitglieder erreichen.
7. URL-Filtersystem
-------------------
Das neuartige Filtersystem filtert URLs heraus, die nicht den Normungen
entsprechen. Dies soll zum einem verhindern - ich hatte es ebenfalls in einem
anderen Mailtausch mehrfach erlebt - dass URLs, wie mailto:adresse@host.de
-beworben werden (oder auch Skype-Adressen). Aber es verhindert auch, dass "boese"
-URLs, die den Server angreifen sollen, in das System legal gelangen und somit
-alle Computer der Mitglieder - oder wenigstens den Computer des Admins angreifen
-koennen (Trojaner).
+beworben werden (oder auch Skype-Adressen). Aber es verhindert auch, dass
+"boese" URLs, die den Server angreifen sollen, in das System legal gelangen und
+somit alle Computer der Mitglieder - oder wenigstens den Computer des Admins
+angreifen koennen (Trojaner).
Das URL-Filtersystem selber basiert auf einer Meta-Sprache, die dann gueltige
-URL-Filter (regulaere Ausdruecke) generiert und diese dann auf die beworbene URL
-anwendet. Das Filtersystem laesst sich nun bald per Internet aktualisieren, was
-das Aktuellhalten dann sehr stark vereinfacht.
+URL-Filter (regulaere Ausdruecke) generiert und diese dann auf die beworbene
+URL anwendet. Das Filtersystem laesst sich nun bald per Internet aktualisieren,
+was das Aktuellhalten dann sehr stark vereinfacht.
Die beworbene URL wird uebrigens vom URL-Lader (Dereferrer) nochmals angewandt!
projects / mailer.git / blobdiff