Neue Bewertung des TMS' (Von v0.1 -> 1.2)

So. Es ist soweit. Es ist mein TMS (Termine Messenger System) jetzt schon Version 1.2 und damit auch sehr sicher. Es haben bisher keine meiner Freunde geschafft dieses System irgendwie zu manipulieren! Ich habe es sehr stark überarbeitet!
Versucht mal etwas zu machen, dass man damit eine wirkliche Wirkung hat, die negativ ist!
Pefektes Termine Messenger System
Versucht es mal und berichtet mir mal die mgl. Mängel!

Viele Grüße und Glück
Jonathan

Pefektes Termine Messenger System
Pefektes Termine Messenger System

Da habe ich einen User erstellt mit dem Namen
Das zerschießt wohl sehr viel dein Layout.

Außerdem habe ich es geschafft einen Termin zu erstellen:
31.2.2009 um 25:-1 Uhr

Ich hab’s richtig heftig sabotiert :slight_smile: Kannst noch andere Dinge suchen, die ich gemacht habe.

oh scheiße! ich habe vergessen überall htmlspecialchars zu machen!
Ok. Das Problem habe ich jetzt lokal behoben! Ich lade das Update heute nachmittag hoch!
@Asterixus: Habe dir eine VIP-Auszeichnung gegeben und, weil es so eine Niederlage war auch noch deinen Namen in Asterixus umbenannt. Das Passwort ist noch gleich.

PS.: Ich kann weder über PHPmyAdmin, noch über mein Adminpanel euer Passwort sehen, da es md5 verschlüsselt wird.

Viele Grüße
Jonathan

Ich würde noch anraten, nicht mit JavaScript die Eingaben zu überprüfen, sondern mit PHP.
Denn es ist möglich, negative Uhrzeiten zu geben, Uhrzeiten die über 24 gehen.

Ich habe eine Reihe von Möglichkeiten gefunden, dass System bzw. deren Benutzer zu stören:

Keine maximale Zeichenlänge

Du hast nirgendwo in deinem System eine maximale Zeichenlänge für Benutzereingaben. So kann man z.B. mit einem schön langen Betreff bei einer privaten Nachricht das Layout des Empfängers zerstören. Auch kann die Nachricht im Gesprächsraum beliebig lang sein - nicht schön! Des Weiteren ist es möglich, einen extrem langen Namen als Terminbetreff zu wählen. Dadurch wird wieder das Layout gestört.

[B]Einstellungen manipulieren

[/B]Man kann seine E-Mail-Adresse beliebig und ohne Prüfung ändern. Meine Adresse lautet momentan fake-email-adresse@existiert-nicht.was-auch-immer - das sollte eigentlich nicht möglich sein.

Das war´s erst einmal - später werde ich mal probieren, dass System direkt anzugreifen. Ach ja, ich habe dir mal eine private Nachricht mit nettem Betreff geschickt :wink:

Dann arbeite mal noch schön an deinem System - schließlich willst du es ja „perfekt“ haben. Also, auf gutes Gelingen!

Nachtrag:

Mir ist gerade aufgefallen, dass man, um sich ausloggen zu können, JavaScripte aktiviert haben muss - unschön! Solche zentralen Funktionen sollten auch ohne JavaScripte funktionieren.

Ich mache eigentlich alle überprüfungen über Js und dann über PHP noch einmal.
Wenn du dich jetzt wieder einloggen willst, dann kannst du das nicht, weil wirklich eine E-mail gesendet wurde und du kannst nichts machen, bevor du deinen Benutzer aktiviert hast!
Ok. Hast recht! Ich werde das einfach dann mal mit Noscript machen. (Wenn Js aus ist, dann schickt er einen direkt dahin)

Viele Grüße
Jonathan

PS.: Dies sind die Änderungen:
UPDATE:

  • Längenbegrenzung
  • htmlspecialchars überall!
  • Logout Notfall mit noscript!
  • Termineingaben genauer überprüfen!
    Ich hoffe, ich habe nichts vergessen!

Das solltest du dann aber auch dem Benutzer mitteilen :wink:

Könntest du eventuell meinen Benutzer „DerVollstrecker“ wieder aktivieren und die E-Mail-Adresse wieder auf „sinnlosefragen@web.de“ ändern? Danke schon mal im voraus. Ich werde mich dann in den nächsten Tagen noch etwas mit deinem System beschäftigen :wink:

Ich habe dich wieder aktiviert und deine Mail-addi zurückgesetzt. Ich gebe dir noch einen Tipp: Ändere schnell wieder deinen letzten Eintrag mit der Mail-addi, weil sonst hast du bald noch viel mehr ungewünschte Post!

Viele Grüße
Jonathan

Das Update ist soweit lokal komplett fertig…
Es fehlt nur noch eines:
Die Längenbegrenzung für ein Wort. Wie kann ich die machen, ohne bei jeder Ausgabe eine Extra Schleife zu machen??

Viele Grüße
Jonathan

Leerlassen kann ich Betreff und titel nicht, mit einem unsichtbaren zeichen ala alt+0160 allerdings schon.

D. h. man kann ein Termin ohne Betreff und text abschicken.

Danke, aber für mich zählt dies zu keiner Sicherheitslücke bzw. zu einem ernsten Problem.

  1. Was hätte einer davon, wenn er dieses macht?
  2. Wieso nicht gleich die Leertaste??? :smiley:
    Trotzdem danke.

Viele Grüße
Jonathan

Ach mit leertaste geht es auch? :stuck_out_tongue:

Naja indirekt. Du sagst es MÜSSEN alle felder ausgefüllt sein. Aber damit sind sie ja nicht wirklich ausgefüllt.

Ansonsten könntest du den hinweis ja gleich lassen. Aber ich denke mal der ist nur dafür da den User aufmerksam zu machen wenn er was vergessen hat, sogesehen passts ja.

Na egal wollts ja nur anmerken^^

Ich mache es dann halt beim nächsten Update, wenn ich wieder einmal Langeweile habe :smiley:
Sonst noch etwas? Wollte mich nicht einer mal knacken?

Viele Grüße
Jonathan

wenn man versehentlich keinen betreff eingibt, kommt man nicht zu seinem vlt. wichtigen Termin…

seit wann gibt es den 32.3.2010 24:60…

vlt. finde ich noch was…

  1. Deswegen gibt es ja eigentlich die Js Kontrolle. Über PHP wird es nur noch einmal kontrolliert. Was für einen Browser verwendest du? Hast du Js aktiv?
  2. Das Problem, welches du ansprichst ist im Update bereits behoben.

Viele Grüße
Jonathan

IE7. ja ist aktiviert…

hab es noch einmal versucht und es geht trotzdem…

Hm. Da kann ich eigentlich nur vermuten, dass mein Js teil unter IE nicht mehr funktioniert. Ich verwende immer nur FF, habs aber damals mit Opera, IE, FF und Safari getestet, damit es unter jedem Browser läuft. Vielleicht, weil es sich schon eine Menge am Quelli getan hat, läuft das nicht mehr unter IE… Muss ich im Update mit beheben. Danke für den Hinweis.
Sonst noch etwas, was ich im Update ändern soll?
Ich will nämlich gleich ein „finales“ Update rausbringen.

Viele Grüße
Jonathan