De discussie gaat er nu ondertussen over dat jouw manier van 'het aan de man brengen van de fout' een beetje belachelijk is voor op een webcommunity. Je bent misschien niet heel actief hier op de website maar een mede-lid van een community zo te behandelen vind ik nogal belachelijk.
Ik vraag me dan ook af hoe de crew gaat reageren als ze zien dat jij zo omgaat met mede-leden en hun creaties. Ik dacht dat we hier waren om van elkaar te leren door opbouwende kritiek en advies te geven, niet om producten van elkaar te hacken en dan ook nog eens alles te deleten om het daarna vrolijk nog een keer te doen.
Er zijn hier dus geen hackers, maar crackers actief.
Wat timmie_loots heeft gedaan, is ook cracken.. Wat dus wel strafbaar is (als het goed is). Hackers zoeken een lek, en stellen de webmaster hiervan op de hoogte zonder schade aan te richten.
Wat timmie_loots dus heeft gedaan, is gewoon een vuile naaistreek..
Ik geloof niet dat de Sitemaster leden (ook de crew) trots zullen zijn op deze 'prestatie', het cracken van systemen van medeleden.
Citaat:
In bepaalde technisch georiënteerde subculturen is een hacker een persoon die geniet van de intellectuele uitdaging om op een creatieve, onorthodoxe manier aan technische beperkingen te ontsnappen; bijvoorbeeld een goede programmeur, hoewel een hacker niet per se iets met computers hoeft te doen. In deze subculturen wordt het gebruik van de woorden hacker en hacken door en voor computerinbrekers als misbruik van de term gezien; zij worden crackers of krakers genoemd.
In het bijzonder wordt het woord hacker gebruikt in volgende betekenissen:
1. Iemand die een programmeertaal of -omgeving zo goed kent dat hij zonder zichtbare moeite een programma kan schrijven
2. Iemand die een technologie bedenkt, ontwerpt, uitwerkt, implementeert, test, en verbetert
3. Iemand die onconventionele maar adequate oplossingen bedenkt tegen lekken, fouten en problemen van andere aard met behulp van beschikbare middelen
4. Iemand die tracht om via andere dan de officiële wegen een computersysteem binnen te dringen ten einde een beveiligingsprobleem te kunnen aantonen en mogelijk verhelpen
Ik geloof niet dat de Sitemaster leden (ook de crew) trots zullen zijn op deze 'prestatie', het cracken van systemen van medeleden.
Nou, wat een schok.
Bovendien vind ik dat hier veel te zwaar aan word getilt, ik heb niets verwijderd wat niet teruggeplaatst kon worden ;)
Ook wil ik graag even reageren op het strafbaar zijn van cracken. Er moet echter wel een beveiliging worden doorbroken , of toegang wordt verleend door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.
Oké, het is misschien geen echte 'crack', maar de wijze waarop de webmaster op zijn lek geattendeerd is, is ongepast in mijn ogen.
Een hacker heeft geen slechte bedoelingen, een cracker wel. Bestanden verwijderen vind ik niet echt goede bedoelingen..
Ik weet dat timmie_loots dit niet met slechte bedoelingen deed, maar de wijze waarop zou een stuk prettiger kunnen.
Overigens wees ik hierboven nietalleen naar timmie_loots, maar naar het oorspronkelijke probleem. Dit waren dus duidelijk wel crackers. Ze kwamen - waarschijnlijk op ongepaste wijze - binnen, en hebben de boel een beetje verziekt, in plaats van de webmaster op zijn lek te attenderen.
Zullen we dit voor de rest laten rusten en aan de crew overlaten (die er overigens lang over doet om dit in de gaten te krijgen..).
De manier waarop zou inderdaad een stuk prettiger kunnen, en ik heb het ook maar al te vaak wel op een goeie manier afgehandeld, maar ik wilde het in dit geval iets moeilijker maken voor de webmaster.
Ik denk dat de discussie onderhand opgehouden is. We zijn het er allemaal over eens dat dit niet de beste manier is, alleen sommige mensen tillen er zwaarder aan. Dat ís gewoon zo, en daar kunnen we nu niks meer aan veranderen.
nu WEET ik tenminste wat er aan de hand is...
over dat add/stripslashes gedoe, kik op regel 40 van index.php en op regel 64 van pcms/editpage.php en regel 58 van pcms/newpage.php, daar staat toch echt addslashes. ik zet magic quotes uit omdat ik dan weet wat er wel/niet escaped is...
ik zal een beveiliging tegen .php bestanden in het upload-systeem zetten en dat komt ook in versie 2.1 (met ip-logger).
@proximus: Even voor de duidelijkheid: ik heb niet gezegd dat ik akkoord ben met de actie van timmie.
Ik wou gewoon even zeggen dat wanneer je iets online plaatst, er altijd de mogelijkheid is dat je kwetsbaar bent voor exploits van derden. Persoonlijk zou ik zelf ook het gewoon even melden dat er een lek is ipv meteen alles te verwijderen. Maar timmie deed het op zijn manier en uiteindelijk is er geen schade.
Echt vriendelijk is timmie's actie niet, maar moet daarom iedereen doen alsof we met een zware cracker in de community zitten die de websites van andere leden om zeep helpt? Ik denk het niet ...
Ik denk dat zowel timmie als threetimes nu wel eerst eens gaat nadenken voor ze opnieuw iets online zetten / cracken.
@threetimes: Je weet nu wat er loos is en kan er iets aan doen, dus zie dit als een goede les ipv een kwaaie daad.
@Threetimes: Op die pagina's mag dan wel addslashes staan, op de pagina die ik noem is het gewoon fout, ongeacht of er op andere pagina's wel addslashes gebruikt wordt.
En dan gebruik je $pagina in een query. Als je dan ?pagina=[DIT] als je dan [DIT] aanpast naar kwaadaardige code, dan kan men je cracken. Dit noemt men ook XSS.
Controle.. Met een reg-ex bijvoorbeeld, dan kan je controleren of er alleen alphanumerieke tekens ingevoerd zijn.
eregi("^[a-z]+$", $_GET['pagina']);
zal TRUE teruggeven wanneer $_GET['pagina'] alleen uit de tekens a t/m z bestaat (hoofdletterongevoelig), en FALSE wanneer dat niet zo is.