Comments on: SQL für Anfänger bei haefft.de

By: BastianBBux

BastianBBux — Tue, 24 Aug 2010 13:51:38 +0000

“Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht.”
Hähä, da kommt mir mein Lieblingspasswort sehr entgegen:

; TRUNCATE TABLE users;

By: Maik K

Maik K — Wed, 21 Jul 2010 13:41:44 +0000

@Nicht der Admin:

Passwörter sollten grundsätzlich so codiert sein, das man mit dem verschlüsselten Passwort auf keinen Fall das Klartextpasswort bekommen kann. So kann man, falls jemand an die Datenbank kommt, immerhin verhindern, das sich derjenige mit den Passwörtern austobt.
Um das zu erreichen fällt allerdings schonmal einiges raus: natürlich das Passwort selbst, Verschlüsselungen, die in beide Richtungen funktionieren(zb. reines AES) oder auch MD5(zumindest nur MD5, Stichwort rainbow table).

Allerdings heißt das natürlich nicht, dass eine sichere Verschlüsselung alles ist. Man sollte sich z.B. genauso gegen Social Engineering, etc. gefeit machen, also z.B. eine gewisse Komplexität der Passwörter sollte gegeben sein und man kann die User nicht oft genug darauf hinweisen, dass ein Passwort nirgends außer in der Anmeldemaske abgefragt wird..

By: Nicht der Admin

Nicht der Admin — Fri, 30 Apr 2010 20:21:16 +0000

Naja Passwörter im Klartext ist ja nicht so unüblich (auch wenn ich der Meinung bin eine Seite die Passwörter nicht verschlüsselt ist unseriös), zumindest gibt es noch einige Seiten bei denen man sich sein aktuelles Passwort per Mail zuschicken lassen kann und das geht ja schwer wenn sie verschlüsselt wären (ich lass mich gern eines besseren belehren. So gut kenne ich mich mit MySql nicht aus)

Aber die Abfrage per Like Operator? Das ist ja so ziemlich das schlimmste was man machen kann. Dann kann man auch gleich nur den Benutzernamen abfragen und das Passwort ganz weglassen.

By: Maik K

Maik K — Sat, 23 Jan 2010 03:08:57 +0000

Das ist ja fast schon besser als die tolle GoogleBomb auf druckbombe.de/druckerei/* (mein persönlicher Favorit heute war ja http://www.druckbombe.de/druckerei/geld/index.html Scheint aber mittlerweile als haben sie das gefixt[wer weiß was die für nen Traffic durch die ganzen Foren hatten auf denen solche netten Scherze gepostet wurden^^])

Aber mal ganz ehrlich, sollte es nicht gegen solche Dummheit schon langsam Gesetze geben?? Ich meine, da ist es mir doch 10 mal lieber, das Google alles über mich weiß, als das mein Passwort irgendwo im Klartext liegt!? Wenns geht dann auch noch eins was man vielleicht ein paar mal genutzt hat, da muss man dann nurnoch ne K=>V DB erstellen und schon kann sich ein kleiner Bot durch sämtliche Anmeldemasken wühlen wo man damit noch reinkommt xD

By: rA1n

rA1n — Fri, 15 Jan 2010 18:30:41 +0000

wie Geil ist denn bitte das??? Da könnte man im Bezug auf das Plutonium ja glatt verleitet sein zu sagen:

Es ist meiner Meinung nach wichtiger mehr Gesundheitsexperten in einem AKW zu beschäftigen damit die Mitarbeiter sich keine fiese Magenverstimmung holen als 100%ige Systemsicherheit…

(Ja ich weis das es im AKW kein Pu gibt)

Man, man da braucht man sich echt nicht wundern…

was auch extremst genial ist… wenn man jetzt mal bei haefft.de reinschaut kommt man nach haefft.wordpress.com mit folgender Begründung

“haefft.de im Exil

Dies ist der temporäre Überlebensraum von haefft.de. Seit der CCC uns auf eine Sicherheitslücke hingewiesen hat, ist Haefft.de leider offline. Damit ihr wenigstens wisst, was gerade bei uns passiert, haben wir diesen Blog eingerichtet.”

Wenigstens kann man bei einem Block keine Userdaten aufgrund schlechter, ach was sage ich kindischer, Programmierung riskieren

By: Mark

Mark — Mon, 14 Dec 2009 13:42:59 +0000

hahaha! sehr genial, vor allem die presseerklärung, made my day !

By: Sometimes I wonder about Developers | SwiftLizard Interactive {Design, Development}

Wed, 09 Dec 2009 11:58:02 +0000

[...] 9th, 2009 by Chris Tags: development, sql Dec 09 Lately I came across a nice article at “der fiese Admin” about the security leak at a german portal for kids, that made me wonder about the work attitude of [...]