]> git.mxchange.org Git - mailer.git/blobdiff - 0.2.1/DOCS/de/SECURITY.txt
projects / mailer.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
Fixed broken german umlauts
[mailer.git] / 0.2.1 / DOCS / de / SECURITY.txt
diff --git a/0.2.1/DOCS/de/SECURITY.txt b/0.2.1/DOCS/de/SECURITY.txt
index 5f29380dbe680ca1820d1781d3033e1b76fbd86a..007bc2673a1bafd579c8b28fa127a16acc6d9ce9 100644 (file)
--- a/0.2.1/DOCS/de/SECURITY.txt
+++ b/0.2.1/DOCS/de/SECURITY.txt
@@ -25,13 +25,14 @@ beworbene Seite besucht werden. Auch dieses Script kann natuerlich nicht 100%-ig
 dafuer sorgen, dass die Seite auch tatsaechlich besucht werden. Dazu gibt es
 andere Methoden, die hier den Rahmen der Datei sprengen wuerden.
 
 dafuer sorgen, dass die Seite auch tatsaechlich besucht werden. Dazu gibt es
 andere Methoden, die hier den Rahmen der Datei sprengen wuerden.
 
-Aber nun zum eigentlichen Thema zurueck. Nehmen wir mal an, das Script käme ohne
-dem besagten Sicherheitscode.
+Aber nun zum eigentlichen Thema zurueck. Nehmen wir mal an, das Script kaeme
+ohne dem besagten Sicherheitscode.
 
 
-Die Betrueger benutzen dann ein Programm, dass die URL genau nachbilden kann, die
-aufgerufen wird, wenn die Zeit abgelaufen ist und die Punkte verguetet werden
-(worum es den Fakern geht). Es wird also nicht das Frameset mit der beworbenen
-Seite unten und oben das Zeit-Frame aufgerufen, sondern nur die Gutschrift-Seite.
+Die Betrueger benutzen dann ein Programm, dass die URL genau nachbilden kann,
+die aufgerufen wird, wenn die Zeit abgelaufen ist und die Punkte verguetet
+werden (worum es den Fakern geht). Es wird also nicht das Frameset mit der
+beworbenen Seite unten und oben das Zeit-Frame aufgerufen, sondern nur die
+Gutschrift-Seite.
 
 Ohne Code in der URL und Code im Muster-Bild ist dies kein Problem.
 
 
 Ohne Code in der URL und Code im Muster-Bild ist dies kein Problem.
 
@@ -109,8 +110,9 @@ beispielsweise), so wird eine rote Warnseite angezeigt und der Ablauf des
 Scriptes "stirbt".
 
 Diese Grundsicherheit des Script kann nicht deaktiviert werden (ausser Sie sind
 Scriptes "stirbt".
 
 Diese Grundsicherheit des Script kann nicht deaktiviert werden (ausser Sie sind
-verrueckt genug und loeschen die Sperren aus jedem Script, selbstverstaendlich ist
-dann keine Sicherheit mehr gewaehrt und jeglicher Support-Anspruch verfallen).
+verrueckt genug und loeschen die Sperren aus jedem Script, selbstverstaendlich
+ist dann keine Sicherheit mehr gewaehrt und jeglicher Support-Anspruch
+verfallen).
 
 4. SQL-Injektionen und XSS-Attacken
 -----------------------------------
 
 4. SQL-Injektionen und XSS-Attacken
 -----------------------------------
@@ -121,7 +123,7 @@ Attacken auf die Variable $PHP_SELF durchzufueheren. Seit Patch 486 und 487
 (laden Sie sich am Besten immer die aktuellsten Patches herunter!) sind nun
 entsprechende Zeilen aus der inc/db/lib-mysql3.php (Funktion SQL_QUERY_ESC)
 entfernt und sollten nicht mehr angreifbar sein. Der generierten SQL-Befehl
 (laden Sie sich am Besten immer die aktuellsten Patches herunter!) sind nun
 entsprechende Zeilen aus der inc/db/lib-mysql3.php (Funktion SQL_QUERY_ESC)
 entfernt und sollten nicht mehr angreifbar sein. Der generierten SQL-Befehl
-wurde vor der Ausfuehrung nochmals "uebersetzt", also alle 
+wurde vor der Ausfuehrung nochmals "uebersetzt", also alle
 sicherheitsgefaehrdenen Zeichen wieder eingebaut. Zudem existiert im Script
 inc/libs/security_functions.php am Ende des Scriptes ein Mechanismus, der
 XSS-Attacken verhindern soll (und es auch gut getan hat).
 sicherheitsgefaehrdenen Zeichen wieder eingebaut. Zudem existiert im Script
 inc/libs/security_functions.php am Ende des Scriptes ein Mechanismus, der
 XSS-Attacken verhindern soll (und es auch gut getan hat).
@@ -145,13 +147,13 @@ URL-Filter arbeiten wird und wieso er implementiert wird.
 ---------------
 
 Gleich wie die URL-Sperre URLs vor doppelter Bewerbung "schuetzt", so schuetzt
 ---------------
 
 Gleich wie die URL-Sperre URLs vor doppelter Bewerbung "schuetzt", so schuetzt
-auch die Profilsperre das Mitgliederprofil vor erneutem Editieren innerhalb einer
-bestimmten Zeit. Zudem arbeiten beide Sperren "Hand-In-Hand", was bedeutet, dass
-sobald ein Mitglied eine Mail gebucht hat, fuer eine gewisse Zeit sein Profil
-nicht mehr aendern kann. Auch diese Sperre gilt den Betruegern, die nach dem
-Versand ihren Empfang auf 0 stellten und vor dem Versand (vor 00:00 Uhr) ihn
-hochstellten, um zu versenden. Folglich konnten die anderen Mitglieder weniger
-empfangsbereite Mitglieder erreichen.
+auch die Profilsperre das Mitgliederprofil vor erneutem Editieren innerhalb
+einer bestimmten Zeit. Zudem arbeiten beide Sperren "Hand-In-Hand", was
+bedeutet, dass sobald ein Mitglied eine Mail gebucht hat, fuer eine gewisse
+Zeit sein Profil nicht mehr aendern kann. Auch diese Sperre gilt den
+Betruegern, die nach dem Versand ihren Empfang auf 0 stellten und vor dem
+Versand (vor 00:00 Uhr) ihn hochstellten, um zu versenden. Folglich konnten die
+anderen Mitglieder weniger empfangsbereite Mitglieder erreichen.
 
 7. URL-Filtersystem
 -------------------
 
 7. URL-Filtersystem
 -------------------
@@ -159,15 +161,15 @@ empfangsbereite Mitglieder erreichen.
 Das neuartige Filtersystem filtert URLs heraus, die nicht den Normungen
 entsprechen. Dies soll zum einem verhindern - ich hatte es ebenfalls in einem
 anderen Mailtausch mehrfach erlebt - dass URLs, wie mailto:adresse@host.de
 Das neuartige Filtersystem filtert URLs heraus, die nicht den Normungen
 entsprechen. Dies soll zum einem verhindern - ich hatte es ebenfalls in einem
 anderen Mailtausch mehrfach erlebt - dass URLs, wie mailto:adresse@host.de
-beworben werden (oder auch Skype-Adressen). Aber es verhindert auch, dass "boese"
-URLs, die den Server angreifen sollen, in das System legal gelangen und somit
-alle Computer der Mitglieder - oder wenigstens den Computer des Admins angreifen
-koennen (Trojaner).
+beworben werden (oder auch Skype-Adressen). Aber es verhindert auch, dass
+"boese" URLs, die den Server angreifen sollen, in das System legal gelangen und
+somit alle Computer der Mitglieder - oder wenigstens den Computer des Admins
+angreifen koennen (Trojaner).
 
 Das URL-Filtersystem selber basiert auf einer Meta-Sprache, die dann gueltige
 
 Das URL-Filtersystem selber basiert auf einer Meta-Sprache, die dann gueltige
-URL-Filter (regulaere Ausdruecke) generiert und diese dann auf die beworbene URL
-anwendet. Das Filtersystem laesst sich nun bald per Internet aktualisieren, was
-das Aktuellhalten dann sehr stark vereinfacht.
+URL-Filter (regulaere Ausdruecke) generiert und diese dann auf die beworbene
+URL anwendet. Das Filtersystem laesst sich nun bald per Internet aktualisieren,
+was das Aktuellhalten dann sehr stark vereinfacht.
 
 Die beworbene URL wird uebrigens vom URL-Lader (Dereferrer) nochmals angewandt!
 
 
 Die beworbene URL wird uebrigens vom URL-Lader (Dereferrer) nochmals angewandt!
 
Mailer-Project repository