Cross Site Scripting Angriffe

Vom Front-End bis SOAP.

Moderator: Moderatoren

ramses
Programmier-Gott
Programmier-Gott
Beiträge: 1063
Registriert: Mi, 28. Jul 2010 17:16

Re: Cross Site Scripting Angriffe

Beitrag von ramses » Sa, 06. Jan 2018 18:59

Hallo Stephan

ich entferne beim Empfang die Zeichen <>"{}[]¦| aus allen Zeichenketten und alles wird "UnEscaped".
Da sich alle unsere Benutzer mit Namen und Passwort anmelden müssen, also uns alle bekannt sind, schien uns und den Prüfern diese Massnahme damals (Stand 2010) ausreichend.

Kannst du nicht dein "Sicherheitsunternehmen" befragen was du aus Zeichenketten entfernen musst.
Für eine Zertifizierung bestehen doch Test-Richtlinien.

Gruss Carlo

Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 11468
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg

Re: Cross Site Scripting Angriffe

Beitrag von AUGE_OHR » Sa, 06. Jan 2018 22:12

Martin Altmann hat geschrieben:
Sa, 06. Jan 2018 16:38
Die Frage ist halt, wie weit Alaska das noch aufbohrt. Sie wollen jedenfalls alle Controls durch WebUI-Elemente ersetzen.
Frage : was sind WebUI Elemente :?:

wie auch in DotNet sind es immer noch die "alten" Controls nur eben entsprechend "verpackt" und mit CCS "aufgehübscht" (statt visual Style ). das wir nun von "HTML-Layout" ( https://terrainformatica.com/a-homepage ... htmlayout/ ), welches nicht mehr unterstützt wird, gerendert.
Alaska hat uns, mal wieder, eine "alte" Technik unter-geschoben und die als "neu" verkauft [-X
gruss by OHR
Jimmy

ramses
Programmier-Gott
Programmier-Gott
Beiträge: 1063
Registriert: Mi, 28. Jul 2010 17:16

Re: Cross Site Scripting Angriffe

Beitrag von ramses » So, 07. Jan 2018 9:04

Hallo Jimmy

Das ist doch egal ob neue oder alte Technik.

Nein, die Frage ist eigentlich wie oder ob "Mann" mit xbase-Programmen in die Zukunft kommt. Bezw. die nächsten 5 Jahre übersteht. Siehe nur die Probleme der letzten 2 Jahre. Meiner Meinung nach reagiert Alaska viel zu träge. Noch nicht einmal eine Antwort auf das "File-lösch Problem" (PDR) vor welchem uns Alaska vor einiger Zeit per mail gewarnt hat ist verfügbar.

Jetzt kommen neue Controls um ein wenig Optik zu verbesseren .... Funktioniert eigentlich die viel wichtigere Postgesql DBE schon zufriedenstellend?
Ich verwende die neuen Controlls sicher nicht mehr. Dadurch fesselt man sich immer mehr an xbase. Wenn schon HTML dann besser gleich richtig auf HTML-CSS etc. mit xb2net umstellen. Die so erstelle Oberfläche ist wäre dann auch mit jedem Server funktionsfähig und ist Plattformunabhängig und Cloudfähig.

Es kann doch nicht sein dass es bei jedem Windows-Upgrade Monate dauert bis die neuen Probleme in Xbase jeweils gelöst sind. Dabei ist es unwesentlich dass die Ursache jeweils bei änderungen von M$ lagen.

Dies ist auch einer der Hauptgründe dass wir alles auf WebApps umstellen. So muss das xbase Programm (Webserver) nur noch auf einem Server funktionieren. Dazu kommen alle anderen Vorteile der Web-Apps.

Jeder Entwickler sollte sich eigentlich auch gelegentlich über die Zukunftsicherheit seiner Werkzeuge, Tools und Arbeit Gedanken machen .....

Gruss Carlo

Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 11468
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg

Re: Cross Site Scripting Angriffe

Beitrag von AUGE_OHR » So, 07. Jan 2018 9:54

ramses hat geschrieben:
So, 07. Jan 2018 9:04
Nein, die Frage ist eigentlich wie oder ob "Mann" mit xbase-Programmen in die Zukunft kommt. Bezw. die nächsten 5 Jahre übersteht.
naja ... sagen wir die nächsten 3 Jahre (2020) mit Windows 7
ramses hat geschrieben:Meiner Meinung nach reagiert Alaska viel zu träge.
Zeit ist relative ... wenn man auf etwas wartet scheint es ewig zu dauern.
ramses hat geschrieben:Noch nicht einmal eine Antwort auf das "File-lösch Problem" (PDR) vor welchem uns Alaska vor einiger Zeit per mail gewarnt hat ist verfügbar.
hast du ein "File-nach-löschen-noch-sichtbar" Problem ?
wenn ja Frage :
passiert es auch wenn du 2 x Explorer aufmachst und in einem eine Datei in einem ge"shared"ten Ordner löscht ?
ramses hat geschrieben:Dies ist auch einer der Hauptgründe dass wir alles auf WebApps umstellen.
das wird sicherlich die Zukunft sein.
gruss by OHR
Jimmy

ramses
Programmier-Gott
Programmier-Gott
Beiträge: 1063
Registriert: Mi, 28. Jul 2010 17:16

Re: Cross Site Scripting Angriffe

Beitrag von ramses » So, 07. Jan 2018 19:59

Hallo Jimmy

ja wenn du mit allen deinen Kunden noch 3 Jahre bei W7 bleiben kannst...... Glückspilz...... aber was kommt dann?

Zeit ist sicher relativ. Aber wenn dir dann ein Zwangsupgrade W10 dein Arbeitswerkzeug lahm legt und du auf einen Fix warten musst ist das sicher auch für dich nicht mehr so lustig.

Nein das "Filelöschen"Problem hatte ich nie. Nach dem Mail von Alaska, die bis dahin noch nie vor einem Problem gewarnt haben, jedoch einige Panik.
Aber auch mit dem Muster von Alaska konnte ich das Problem auf mehreren Rechnern über Tage hinweg nicht herbeiführen.

Gruss Carlo

Benutzeravatar
AUGE_OHR
Marvin
Marvin
Beiträge: 11468
Registriert: Do, 16. Mär 2006 7:55
Wohnort: Hamburg

Re: Cross Site Scripting Angriffe

Beitrag von AUGE_OHR » So, 07. Jan 2018 21:11

ramses hat geschrieben:
So, 07. Jan 2018 19:59
ja wenn du mit allen deinen Kunden noch 3 Jahre bei W7 bleiben kannst...... Glückspilz...... aber was kommt dann?
Es spricht ja nichts dagegen nach 2020 weiterhin Windows 7 zu nutzen ... nur Updates gibt es nicht mehr.
das ist aber kein Problem, ebensowenig mit Windows XP, wenn die Apps im (geschlossenen) Intranet laufen.
ramses hat geschrieben:Nein das "Filelöschen"Problem hatte ich nie. Nach dem Mail von Alaska, die bis dahin noch nie vor einem Problem gewarnt haben, jedoch einige Panik.
JA ... Panik verbreiten die Leute gerne um Updates (oder neue Hardware) an den Mann zu bringen.
ramses hat geschrieben:Aber auch mit dem Muster von Alaska konnte ich das Problem auf mehreren Rechnern über Tage hinweg nicht herbeiführen.
was mich nicht wundert ... :badgrin:

Frage : warum sollte etwas mit einer Xbase++ App "passieren" wenn es nicht mit anderen Apps passiert ... :roll:
gruss by OHR
Jimmy

Antworten