Ankündigung

Einklappen
Keine Ankündigung bisher.

Kompetenz des IT-Teams

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Kompetenz des IT-Teams



    Das hier ist eine Kritik, ich denke das ich damit in diesem Forum richtig bin.

    Das IT-Team dieser Seite ist unter anderem für die Sicherheit der Nutzer und die technische Umsetzung entsprechend der Gesetze und vorgaben verantwortlich.
    Ich hatte dem Mitglied des IT-Teams “torty“ darauf hingewiesen dass die Speicherung der IP ein Problem sein könnte was den Datenschutz angeht.

    Um die Speicherung der IP durch die Software des Forum zu verhindern, wäre ein nur sehr kleiner Eingriff in die Software nötig.



    In der Datei /includes/class_core.php hätte einfach nur

    return $_SERVER['REMOTE_ADDR'];

    hätte nur durch


    return '127.0.0.1';

    Ersetzt werden müssen.



    Da die Forensoftware in PHP geschrieben ist, bedeutet “$_SERVER['REMOTE_ADDR'];“ die IP des Benutzers. Das kann jeder in dem PHP Manual nachlesen.

    http://php.net/manual/de/reserved.variables.server.php


    Zitat:
    'REMOTE_ADDR' Die IP-Adresse, von der aus der Benutzer die aktuelle Seite ansieht. Nachdem ich “Torty“ diese einfach Lösung gezeigt hatte, die in wenigen Minuten jeder Depp umsetzen könnte, habe ich diese PN von ihm bekommen: Ach noch eine Kleinigkeit ... deine "Lösung" ist nach ca 2 Sekunden drauf schauen durchgefallen. Die $_SERVER['REMOTE_ADDR'] ist bei uns nie die deinige. Aber du bist ja der Entwickler und kennst dich aus. Ich frage mich also wie es sein kann dass ein Entwickler der hier für die Technik, unsere Sicherheit und für die technische Einhaltung von Gesetzen mit verantwortlich ist nicht wissen kann dass so etwas einfaches wie $_SERVER['REMOTE_ADDR'] die IP-Adresse der Besucher wiedergibt.


    @Torty Ja, ich kenne mich ein bisschen aus, und darum ist es schade dass ich dir als “Entwickler“ etwas aus dem PHP Manual zeigen muss. Selbst das kleinste Skriptkiddie weiß was einem die IP der Nutzer ausgibt. Wer das nicht kennt darf sich nicht Entwickler nennen und sollte einen so wichtigen Posten gerade auf einer Seite wie dieser hier nicht besetzen.



    Mädchen.de sollte sich ganz schnell nach personal umsehen dass etwas von seinem Job versteht.






    #2
    Sperrt endlich diesen Honk.
    Er hat hier lange schon Hausverbot und macht sich überall lächerlich.
    Handelt!

    Kommentar


      #3
      Zitat von Maiko Beitrag anzeigen
      itat:
      'REMOTE_ADDR' Die IP-Adresse, von der aus der Benutzer die aktuelle Seite ansieht. Nachdem ich “Torty“ diese einfach Lösung gezeigt hatte, die in wenigen Minuten jeder Depp umsetzen könnte, habe ich diese PN von ihm bekommen: Ach noch eine Kleinigkeit ... deine "Lösung" ist nach ca 2 Sekunden drauf schauen durchgefallen. Die $_SERVER['REMOTE_ADDR'] ist bei uns nie die deinige. Aber du bist ja der Entwickler und kennst dich aus. Ich frage mich also wie es sein kann dass ein Entwickler der hier für die Technik, unsere Sicherheit und für die technische Einhaltung von Gesetzen mit verantwortlich ist nicht wissen kann dass so etwas einfaches wie $_SERVER['REMOTE_ADDR'] die IP-Adresse der Besucher wiedergibt.


      @Torty Ja, ich kenne mich ein bisschen aus, und darum ist es schade dass ich dir als “Entwickler“ etwas aus dem PHP Manual zeigen muss. Selbst das kleinste Skriptkiddie weiß was einem die IP der Nutzer ausgibt. Wer das nicht kennt darf sich nicht Entwickler nennen und sollte einen so wichtigen Posten gerade auf einer Seite wie dieser hier nicht besetzen.

      Echt jetzt?

      Srsly? ...

      Es passiert NICHTs wenn man das macht. Ausserdem hab ich dir bereits gesagt das es in einer Firma Entwicklungswege gibt die eingehalten werden müssen und man nicht einfach wild Dinge ändert ohne Rücksprache nur weil eine unbekannter User mit fraglicher Kenntnis des Systems.

      Aber gerne auch nochmal hier in aller Öffentlichkeit.. dein Patch ist MIST ... bringt nichts da das System die NutzerIP nicht aus der fraglichen Funktion bekommt. Aber das hatte ich dir ja schon geschrieben.

      Entwickler und nicht script kiddies wissen das Server hinter Loadbalancern oder gar ganzen CDNs in der Remote ADDr eben NICHT die UserIP haben.
      Aber klar du bist ja der Entwickler.

      Zuletzt geändert von Torty; 27.05.2018, 14:54.
      Hello, IT. Have you tried turning it off and on again? Uh... okay, well, the button on the side, is it glowing? Yeah, you need to turn it on... uh, the button turns it on... yeah, you do know how a button works don't you? No, not on clothes.

      Kommentar


        #4
        Zitat von Torty Beitrag anzeigen
        Aber gerne auch nochmal hier in aller Öffentlichkeit.. dein Patch ist MIST ... bringt nichts da das System die NutzerIP nicht aus der fraglichen Funktion bekommt. Aber das hatte ich dir ja schon geschrieben.
        Nein, du hattest mir vorallem etwas lustiges Geschrieben.
        Und zwar zur Funktion function fetch_alt_ip .

        Im Original :

        function fetch_alt_ip()
        {
        $alt_ip = $_SERVER['REMOTE_ADDR'];

        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
        {
        $altip = $_SERVER['HTTP_X_FORWARDED_FOR'];
        }
        else if (isset($_SERVER['HTTP_CLIENT_IP']))
        {
        $altip = $_SERVER['HTTP_CLIENT_IP'];
        }
        else if (isset($_SERVER['HTTP_FROM']))
        {
        $altip = $_SERVER['HTTP_FROM'];
        }
        else
        {
        $altip = false;
        }

        if ($altip AND $this->filter_ip($altip))
        {
        $alt_ip = $altip;
        }

        return $alt_ip;

        Nach der Änderung:


        function fetch_alt_ip()
        {
        $alt_ip = $_SERVER['REMOTE_ADDR'];

        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
        {
        $altip = $_SERVER['HTTP_X_FORWARDED_FOR'];
        }
        else if (isset($_SERVER['HTTP_CLIENT_IP']))
        {
        $altip = $_SERVER['HTTP_CLIENT_IP'];
        }
        else if (isset($_SERVER['HTTP_FROM']))
        {
        $altip = $_SERVER['HTTP_FROM'];
        }
        else
        {
        $altip = false;
        }

        if ($altip AND $this->filter_ip($altip))
        {
        $alt_ip = $altip;
        }

        return "127.0.0.1";

        Was gibt diese Funktion nach der änderung ganz unten dann aus?
        RIIICHTIG die 127.0.0.1 und nciht mehr die IP der Nutzer.
        Und komm mir nicht mit IP des Loadbalancers. Ohne änderung bekommt ihr die IP der Nutzer.
        Verarschen kannst du einen anderen.

        Kommentar


          #5
          Zitat von Maiko Beitrag anzeigen
          Nein, du hattest mir vorallem etwas lustiges Geschrieben.
          Und zwar zur Funktion function fetch_alt_ip .
          Ja, habe ich weil ich dich darauf hinweisen musste das du mit deinem Patch auf dem Holzweg bist und immer noch warst. Und dir netterweise die die richtige Funktion gesagt habe. Da hatte ich echt Glück bei meinem nicht vorhanden Wissen von der Materie das du mir attestierst.

          Zitat von Maiko Beitrag anzeigen
          Und komm mir nicht mit IP des Loadbalancers. Ohne änderung bekommt ihr die IP der Nutzer.
          Verarschen kannst du einen anderen.
          Ich habe nie behauptet wir hätten nicht die Nutzer IPs. Ich hab sogar dargelegt wofür wir die nutzen.

          Nächster Patch also - jetzt ändern wir schon 2 Funktionen ...wollen wir noch ein wenig suchen bevor du dir sicher bist das nicht doch noch irgendwo echte ips gelogged werden? mal nach $_SERVER['REMOTE_ADDR'] gesucht oder nach $_SERVER['HTTP_X_FORWARDED_FOR'] ? keine Nebenwirkungen? Sicher .. so sicher wie dein erster Patch? .. bei den Sessions z.B sehe da wird auch ne IP mit eingebacken welch Datenschutzgau das erst wäre wenn auf einmal jeder user je nach reload nen anderer ist.

          Das war und wird mein letztes Statement zu dem ganzen Thema sein.

          Ich hab eh schon zu viel geschrieben und das Gefühl ein "Don't feed the trolls" wäre heute gescheiter gewesen.


          Hello, IT. Have you tried turning it off and on again? Uh... okay, well, the button on the side, is it glowing? Yeah, you need to turn it on... uh, the button turns it on... yeah, you do know how a button works don't you? No, not on clothes.

          Kommentar


            #6
            Schade dass ein Thema erst geschlossen und dann darauf geantwortet wird um mit die Möglichkeit zu nehmen dann darauf zu reagieren.
            Aber wenn es nicht anders geht.


            Zitat von Maiko Beitrag anzeigen
            Nein, du hattest mir vorallem etwas lustiges Geschrieben.
            Und zwar zur Funktion function fetch_alt_ip .



            Ja, habe ich weil ich dich darauf hinweisen musste das du mit deinem Patch auf dem Holzweg bist und immer noch warst. Und dir netterweise die die richtige Funktion gesagt habe. Da hatte ich echt Glück bei meinem nicht vorhanden Wissen von der Materie das du mir attestierst.

            Zitat von Torty
            Zitat von Maiko Beitrag anzeigen
            Und komm mir nicht mit IP des Loadbalancers. Ohne änderung bekommt ihr die IP der Nutzer.
            Verarschen kannst du einen anderen.



            Ich habe nie behauptet wir hätten nicht die Nutzer IPs. Ich hab sogar dargelegt wofür wir die nutzen.

            Nächster Patch also - jetzt ändern wir schon 2 Funktionen ...wollen wir noch ein wenig suchen bevor du dir sicher bist das nicht doch noch irgendwo echte ips gelogged werden? mal nach $_SERVER['REMOTE_ADDR'] gesucht oder nach $_SERVER['HTTP_X_FORWARDED_FOR'] ? keine Nebenwirkungen? Sicher .. so sicher wie dein erster Patch? .. bei den Sessions z.B sehe da wird auch ne IP mit eingebacken welch Datenschutzgau das erst wäre wenn auf einmal jeder user je nach reload nen anderer ist.

            Das war und wird mein letztes Statement zu dem ganzen Thema sein.
            Ich hab eh schon zu viel geschrieben und das Gefühl ein "Don't feed the trolls" wäre heute gescheiter gewesen.[/Qoute]
            Was ich zuletzt gepostet habe war kein neuer “Patch“, sondern der selbe wie vorher.
            Nur habe ich da die gesamte Funktion gepostet und dir die Änderung ganz deutlich gezeigt.
            Anderen Entwicklern reichen die Datei und ein Hinweis was geändert werden müsste, dir eben nicht.
            Es werden auch nicht zwei Funktionen geändert, sondern nur eine in einer Datei. Das war vorher auch nicht anders.


            Entweder du versuchst mich hier als Idioten dar zu stellen indem du so tust als wäre ich derjenige der keine Ahnung hat (wahrscheinlich nimmst du mir darum die Möglichkeit dir zu antworten), was dann aber echt traurig wäre. Sinnvoller wäre es sich mal damit auseinander zu setzen, den jeder der ein bisschen Plan hat sieht jetzt schon relativ deutlich was hier los ist. Die anderen fallen wahrscheinlich auf deinen Mist rein.

            Oder du hast echt null Plan und brauchst um etwas umsetzen zu können die genaue Änderung an der Funktion. Aber wer nur mit fremden Codefragmenten zurecht kommt sollte sich auch nicht Entwickler nennen.

            Natürlich passiert etwas wenn man das macht. Die Software speichert Anstelle der Nutzer-Ip die 127.0.0.1 . Und damit würdet ihr einen Teil des nötigen Datenschutzes einhalten. Na wenn das nichts ist .

            Und nochmal in aller Öffentlichkeit, mein “Patch“ funktioniert und ist tausendfach getestet.

            Wenn ihr eine Entwicklungsumgebung hättet und euren Murks dort testen würdet, hätte das Forum weniger mit Fehlern zu kämpfen und ihr könntet solche Dinge dort auch testen. Aber ihr seid ja die Profis und ich der Idiot


            Jeder Nutzer nach einem Reload ein anderer?
            Der war gut. Die Session liegt in einem Cookie beim Nuzter. Dort ist eine Session_id gespeichert. So wird der Nutzer identifiziert und nicht mit der IP. Also wenn nach einem Reload der Nutzer auf einmal ein anderer wäre hätte dieser erst die Session_id dieses Nutzer vom Rechner des Nutzers klauen müssen. Wie soll das durch die Änderung der Funktion funktionieren?


            Solltest du es hinbekommen dass Nutzer ohne direkte Verbindung zueinander nur durch einen reload ihre Session_id tauschen, zeig mit bitte diesen Zaubertrick.
            Aber genau dieses Szenario ist wieder ein Beispiel dafür wie du hier gerade die manipulierst die wirklich keine Ahnung haben. Das hoffe ich zumindest, wenn du den Müll wirklich glaubst wäre das ein sehr schlechtes Zeugnis für eure “TI-Experten“.

            Nach einem Reload jeder Nutzer ein anderer, der war gut. HA HA HA

            Kommentar


              #7
              Lass es doch einfach gut sein.

              In der Datei /includes/class_core.php hätte einfach nur

              return $_SERVER['REMOTE_ADDR'];

              hätte nur durch


              return '127.0.0.1';

              Ersetzt werden müssen.



              Da die Forensoftware in PHP geschrieben ist, bedeutet “$_SERVER['REMOTE_ADDR'];“ die IP des Benutzers. Das kann jeder in dem PHP Manual nachlesen.

              http://php.net/manual/de/reserved.variables.server.php
              return $_SERVER['REMOTE_ADDR'];

              inclusive verweis auf $_SERVER['REMOTE_ADDR'] ... -> 1. Patch -> Fail!


              2. Patch
              in der Funktion fetch_alt_ip()

              return $alt_ip

              wird geändert zu

              return "127.0.0.1";

              Ich frag dich noch .. bist du dir sicher ? ... nichts vergessen? Alles gut? .. Ein Entwickler würde sowas prüfen. In nem richtigen Setup ob das das tut was es soll

              Also ich hab das mal spaßeshalber gemacht und siehe da ... FAIL ich hab immernoch meine IP.

              Extra für dich der nächste Tip den du mir geben darfst:

              upload/core/vb/request.php -> Funktion "fetchAltIp()"

              Hier wäre dein vorläufiges Ziel gewesen. Zumindest für einen ersten schnellen Blick darauf könnte das funktionieren. Und ich sag noch .. "such nach vorkommen der Variablen"
              Aber ohne Tests etwas zu ändern weil es bei 1000enden auch funktioniert ist nicht meine art wie ich Dinge tue. Ich Teste und vergewissere mich das es keine Nebeneffekte hat.

              Stellt sich die Frage was macht die erste Funktion dann wenn nicht das was die 2. macht?

              So ..also jetzt darfst du nochmal posten mit dem nächsten Versuch.

              Hello, IT. Have you tried turning it off and on again? Uh... okay, well, the button on the side, is it glowing? Yeah, you need to turn it on... uh, the button turns it on... yeah, you do know how a button works don't you? No, not on clothes.

              Kommentar


                #8
                Maiko wie wäre es, wenn Du Deine Diskussion mit Torty per PN weiter führst?
                Oder ist es für Dein Ego nötig, sich hier öffentlich so aufzuspielen?
                Dein erbärmliches Motiv ist mir klar, aber das ist jetzt zunächst OT.
                Zuletzt geändert von sanddorn; 27.05.2018, 16:42.

                Kommentar


                  #9
                  Äh .. thema Session: Aus den Settings:

                  Überprüfung der Session-IP
                  Hier kann die Subnetzmaske ausgewählt werden, welche der Genauigkeit der Überprüfung einer IP-Adresse entspricht, sobald eine Session aus der Datenbank abgerufen wird.

                  Dies ist sinnvoll wenn eine große Anzahl an Benutzern transparente Proxys verwenden und sich IP-Adressen bei jedem Seitenaufruf verwenden, wie z.B. bei AOL.

                  Je ungenauer dieser Wert, desto größer wird die Gefahr von Session-Hijacking.
                  Wir hätten dann eine Genauigkeit von 0 ... aber das nur so am Rande.

                  Oh code dazu?
                  upload/core/vb/session.php -> fetch_substr_ip() Aber die IP hat ja nichts mit der Session zu tun. Is klar.
                  Hello, IT. Have you tried turning it off and on again? Uh... okay, well, the button on the side, is it glowing? Yeah, you need to turn it on... uh, the button turns it on... yeah, you do know how a button works don't you? No, not on clothes.

                  Kommentar


                    #10
                    Zitat von sanddorn Beitrag anzeigen
                    Maiko wie wäre es, wenn Du Diene Diskussion mit Torty per PN weiter führst.
                    Oder ist es für Dein Ego nötig, sich hier öffentlich so aufzuspielen?
                    Dein erbärmliches Motiv ist mir klar, aber das ist jetzt zunächst OT.
                    Bin jetzt eh raus :-) schönen Abend euch allen ... sorry für den Spam Heute :-)
                    Hello, IT. Have you tried turning it off and on again? Uh... okay, well, the button on the side, is it glowing? Yeah, you need to turn it on... uh, the button turns it on... yeah, you do know how a button works don't you? No, not on clothes.

                    Kommentar


                      #11
                      Zitat von Torty Beitrag anzeigen
                      Also ich hab das mal spaßeshalber gemacht und siehe da ... FAIL ich hab immernoch meine IP.

                      Extra für dich der nächste Tip den du mir geben darfst:

                      upload/core/vb/request.php -> Funktion "fetchAltIp()"

                      Hier wäre dein vorläufiges Ziel gewesen. Zumindest für einen ersten schnellen Blick darauf könnte das funktionieren. Und ich sag noch .. "such nach vorkommen der Variablen"
                      Aber ohne Tests etwas zu ändern weil es bei 1000enden auch funktioniert ist nicht meine art wie ich Dinge tue. Ich Teste und vergewissere mich das es keine Nebeneffekte hat.

                      Stellt sich die Frage was macht die erste Funktion dann wenn nicht das was die 2. macht?

                      So ..also jetzt darfst du nochmal posten mit dem nächsten Versuch.
                      1. Es scheint hier ja eher üblich zu sein Änderungen im laufendem Betrieb zu testen. Warum sonst die Vielen Threads und unzähligen Beiträge zu nicht endenden Fehlern.
                      Wenn du da anders dran gehst, schön. Aber es sieht so aus als würde das “Team“ es anders machen.

                      2. Der “Patch“ funktioniert bei tausenden anderen auch. Keine Ahnung wo ihr die Variable in euren vermurkstem Skript dann nochmal überschreibt. Ist nicht meine Sache das zu finden. Aber dass die Variable bei euch überschrieben wird wo es nicht sein sollte ist klar, den bei anderen funktioniert es.

                      3. Am Anfang hatte ich dir die Datei und das “ return "127.0.0.1"; “ gegeben. Dass ich dir den Namen der Funktion auch noch geben hätte müssen … eh… Ok einem Entwickler hätte ich das nicht sagen müssen dachte ich. Aber gut.


                      Etwas ohne Tests zu ändern nur weil es bei 1000 anderen funktioniert würde ich auch nicht.
                      Ihr habt lange genug ohne Test viel zu viel Quatsch gemacht. Aber schön dass du auch zugibst dass es funktionieren könnte.

                      Aber dann noch eine Frage, warum nicht testen?

                      Zitat von Torty Beitrag anzeigen
                      upload/core/vb/session.php -> fetch_substr_ip() Aber die IP hat ja nichts mit der Session zu tun. Is klar.

                      Die IP wird schon auch in der Session genutzt, das stimmt schon.
                      Aber die IP ist nur ein kleiner teil von dem woraus die Session besteht. Ändert man die IP in die 127.0.0.1 ändert sich für die Session rein gar nichts.

                      Ihr könntet für die Session auch einfach einen Wert generieren, eine Einmalige ID. Es muss ja nicht immer und für jeden die 127.0.0.1 sein. Damit könntet ihr die Genauigkeit sogar noch erhöhen und hättet trotzdem kein Datenschotzproblem.




                      Kommentar


                        #12
                        Bitte schliessen / sperren und dont feed the troll

                        Kommentar


                          #13
                          Der Affe lässt nicht locker......
                          Ist es nicht ein Grund den rauszuschmeißen wenn er geschlossene threads mehrmals neu eröffnet?
                          Wenn ein Mod oder Admin einen thread dicht macht, dann hat er das gefälligst zu akzeptieren.
                          Naja, auch Mods müssen mal zum Abendessen

                          I believe YES!

                          Kommentar


                            #14
                            Maiko Bevor wir jetzt hier demnächst den 4. Thread zum Thema haben verfasse ich eben noch einen Zweizeiler, damit dir bewusst wird, dass du dieses Thema nicht immer wieder neu eröffnen solltest. Bitte kläre dein Problem per PN mit Torty. Bei erneutem Eröffnen musst du mit Konsequenzen für deine Beratungsresistenz rechnen. Hier ist nun auch zu LG FlyMe
                            LG FlyMe

                            Kommentar


                              #15
                              Unsere aktuelle Datenschutzerklärung findet ihr hier. Bei Fragen im Bezug auf Datenschutz bei Mädchen.de - könnt ihr unseren Datenschutzbeauftragten unter datenschutz@klambt.de erreichen.

                              Ohne die Verarbeitung der IP-Adresse, wäre diese Webseite nicht aufrufbar. Die Log-Daten fallen schon am CDN (Content-Delivery-Network), Firewall oder LB (Load-Balancer) an, bevor diese an die eigentlichen Webserver (oder nachgelagert PHP) übermittelt werden. Die Log-Dateien werden maximal 30 Tage (teilweise weniger) gespeichert. Die Daten werden zur Erkennungen von Ausfällen etc. verwendet.

                              Kommentar

                              Lädt...
                              X