Hinweis zu Fehler unerwünscht

Montag, 9. März 2009, 18:42 Uhr |  Autor:

Eben kam eine Antwort eines Dienstleisters, dem ich einen Hinweis zu einem Bug in einer WebSite geschickt habe, die er für einen Kunden erstellt hat:

ich finde die Demonstration ein bißchen effekthascherisch und nicht wirklich seriös, aber danke für den Hinweis.

Wenn ich nun den Betreiber, also seinen Kunden angeschrieben hätte und der sich bei ihm beschwert, dann könnte ich es ja noch verstehen, aber so… <kopfschüttel>

Ich schreibe immer erst den verantwortlichen Dienstleister an, sofern ich ihn ermitteln kann, da die Auftraggeber meist nicht verstehen worum es geht.

Die eingehenden Daten wurden natürlich schon gefiltert, jetzt werden sie eben noch ein bißchen mehr gefiltert.

Wie kann ich es wagen? Oh Mann… naja… :O)

Mal wieder einer der Dienstleister mit sehr sehr bekannten Kunden.

Die Dummheit stirbt zuletzt.

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Sicherheit

Kommentare und Pings sind geschlossen.

5 Kommentare

  1. 1
    der Webworker 
    Montag, 9. März 2009, 18:52 Uhr

    Das erinnert mich an eine Sache, wo ich überlegt habe, als Dienstleiter zum normalen Webdesigner zu agieren. Und ich irgendwie das Gefühl hatte, dass es in .de nicht funzen wird. Irgendwie bestätigt das mein Gefühl. Aber es sind nicht alle so, ich habe von einigen auch ein “Danke” zurück bekommen :-)

  2. 2
    ich 
    Montag, 9. März 2009, 19:23 Uhr

    Die Regel bei meinen Hinweis-E-Mails ist: Keine Antwort (ca. 70%), wenn eine Antwort kommt dann meist auch ein “Danke”. Eine Antwort ist mir nicht wirklich wichtig, sofern die Lücke geschlossen wird bin ich schon zufrieden.

    Evtl. habe ich den Mensch heute auch einfach nur auf dem falschen Fuß erwischt. :O)

  3. 3
    Webanhalter 
    Donnerstag, 12. März 2009, 17:16 Uhr

    Meiner Erfahrung nach ist der Großteil von Webmastern (o.ä.) eigentlich doch froh. Und antwortet auch, wenn auch sehr kurz …

  4. 4
    ich 
    Donnerstag, 12. März 2009, 18:02 Uhr

    Nicht alle sind erfreut, ist Arbeit die Lücken zu fixen und evtl. sagt der Kunde “Dein Fehler, das bezahl ich dir nicht.”

    (Lösch mal den Cookie, hast wieder deine Urmel mit Komma anstatt Punkt vor der TLD eingegeben.<g>)

  5. 5
    ich 
    Donnerstag, 12. März 2009, 18:08 Uhr

    Gestern bekam ich, nach mehr als einem Monat, eine automatische Antwort:

    (…) Als kleines Dankeschön erhalten Sie von uns einen Versandkostengutschein in Höhe von 5,95 Euro. Dieser lautet “vp050209″ (gültig: 03.03.09 – 31.03.09). (…)

    Und es wurde nur das Script aus meinem Beispiel gefixt, alle anderen Scripte haben noch immer den Fehler. :O)

    Und heute bekam ich:

    die zuständige Fachabteilung hat uns gebeten Ihnen zu antworten.

    Das Problem ist bekannt und wir zur Zeit bearbeitet.

    Hier noch eine Wiki Definition dazu:
    “Um durch eine Webanwendung keine Basis für XSS-Angriffe zu bieten, müssen alle eingehenden Eingabewerte als unsicher betrachtet und vor der weiteren Verarbeitung auf der Serverseite geprüft werden. Dabei sollte man sich nicht darauf verlassen, “böse” Eingaben zu definieren (Schwarze Liste), um diese herauszufiltern, da man nicht genau wissen kann, welche Angriffsmethoden es gibt. Besser ist es daher, die “guten” Eingaben exakt zu definieren (Weiße Liste) und nur solche Eingaben zuzulassen. Dieses Verfahren zählt ganz allgemein zu den Best Practices der Programmierung und sollte wo immer möglich angewandt werden, um unerwartetes Programmverhalten zu verhindern. Allerdings ist es je nach Anwendung nicht immer ohne weiteres in der Praxis umzusetzen, besonders wenn die erlaubten Eingabewerte sehr zahlreich sind.”

    Wir Danken Ihnen noch einmal für Ihren Hinweis.

    :O) Die gute Frau wußte wahrscheinlich nicht was sie mir schreiben soll. :O)