Kommentare zu: Mögliche SQL Injection Schwachstelle in easyLink v1.x http://www.mountaingrafix.eu/2008/12/18/moegliche-sql-injection-schwachstelle-in-easylink-v1x/ Wir entwickeln für Sie maßgeschneiderte Apps für Geräte wie das iPhone, das iPad, den iPod Touch oder Facebook. Tue, 07 Feb 2012 08:31:35 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: Sascha Schoppengerd http://www.mountaingrafix.eu/2008/12/18/moegliche-sql-injection-schwachstelle-in-easylink-v1x/comment-page-1/#comment-603 Sascha Schoppengerd Mon, 22 Dec 2008 10:20:37 +0000 http://www.mountaingrafix.eu/?p=353#comment-603 Ich kann Marcel bei seinen Ausführungen nur zustimmen, zumal...die v2 ja bereits eine Fehlerbehebung, sprich Verbesserung für die v1 beinhaltet. Warum sollten wir einen Patch für einen Fehler herstellen, der schon lange in aktuellen Versionen gepatcht wurde? Und warum sollten wir einen Patch für eine Version veröffentliche, von deren Einsatz wir dringend abraten, eben weil die Engine bereits stark veraltet und mit Sicherheit auch noch viele weitere Lücken beinhaltet. Da würden wir ja dran bleiben. Außerdem ist es ja so, dass wir grundsätzlich alle Nutzer aufrufen, die jeweiligen Updates zu installieren um genau diese Probleme zu vermeiden. Wenn jemand diesen Rat nicht befolgt, dann liegt es letztendlich nicht in unserem Verantwortungsbereich. Konzerne wie MS, Apple oder Mozilla machen es ja auch nicht anders, denn auch hier werden die Patches etc. zu einem bestimmten Datum für eine bestimmte Versionsreihe nicht mehr zur Verfügung gestellt. Ich kann Marcel bei seinen Ausführungen nur zustimmen, zumal…die v2 ja bereits eine Fehlerbehebung, sprich Verbesserung für die v1 beinhaltet. Warum sollten wir einen Patch für einen Fehler herstellen, der schon lange in aktuellen Versionen gepatcht wurde?

Und warum sollten wir einen Patch für eine Version veröffentliche, von deren Einsatz wir dringend abraten, eben weil die Engine bereits stark veraltet und mit Sicherheit auch noch viele weitere Lücken beinhaltet. Da würden wir ja dran bleiben.

Außerdem ist es ja so, dass wir grundsätzlich alle Nutzer aufrufen, die jeweiligen Updates zu installieren um genau diese Probleme zu vermeiden. Wenn jemand diesen Rat nicht befolgt, dann liegt es letztendlich nicht in unserem Verantwortungsbereich.

Konzerne wie MS, Apple oder Mozilla machen es ja auch nicht anders, denn auch hier werden die Patches etc. zu einem bestimmten Datum für eine bestimmte Versionsreihe nicht mehr zur Verfügung gestellt.

]]> Von: Marcel http://www.mountaingrafix.eu/2008/12/18/moegliche-sql-injection-schwachstelle-in-easylink-v1x/comment-page-1/#comment-602 Marcel Sun, 21 Dec 2008 18:19:33 +0000 http://www.mountaingrafix.eu/?p=353#comment-602 Wie im Artikel schon geschrieben steht, wird es keinen Patch geben. Aus Entwickler Sicht ist es auch nachvollziehbar. Es lohnt aus meiner Sicht auch nicht für stark modifizierte Portale einen Patch bereit zu stellen. Hier muss man sich im klaren sein, dass die individuellen Modifikationen aufgrund der fehlenden Plugin-Schnittstelle in den easyLink Version 1.x bei einem Patch ebenso verloren gehen, wie bei einem generellen Update. Schon allein deswegen macht es keinen Sinn. VW bietet auch kein ESP für einen Käfer Baujahr 1961 an. Wie im Artikel schon geschrieben steht, wird es keinen Patch geben. Aus Entwickler Sicht ist es auch nachvollziehbar. Es lohnt aus meiner Sicht auch nicht für stark modifizierte Portale einen Patch bereit zu stellen. Hier muss man sich im klaren sein, dass die individuellen Modifikationen aufgrund der fehlenden Plugin-Schnittstelle in den easyLink Version 1.x bei einem Patch ebenso verloren gehen, wie bei einem generellen Update. Schon allein deswegen macht es keinen Sinn.

VW bietet auch kein ESP für einen Käfer Baujahr 1961 an.

]]> Von: Frame http://www.mountaingrafix.eu/2008/12/18/moegliche-sql-injection-schwachstelle-in-easylink-v1x/comment-page-1/#comment-598 Frame Sat, 20 Dec 2008 16:26:43 +0000 http://www.mountaingrafix.eu/?p=353#comment-598 Auch ich würde einen solchen Patch begrüßen, da ich die Kosten für eine Aktualisierung auf eine aktuelle Version nicht in 10 Jahren einfahre. Meine Erweiterungen sind einfach zu umfangreich und zu tief im Sytem verankert, als das ich mich mit einer Aktualisierung befassen kann. Auch ich würde einen solchen Patch begrüßen, da ich die Kosten für eine Aktualisierung auf eine aktuelle Version nicht in 10 Jahren einfahre. Meine Erweiterungen sind einfach zu umfangreich und zu tief im Sytem verankert, als das ich mich mit einer Aktualisierung befassen kann.

]]> Von: Mobiman http://www.mountaingrafix.eu/2008/12/18/moegliche-sql-injection-schwachstelle-in-easylink-v1x/comment-page-1/#comment-596 Mobiman Fri, 19 Dec 2008 14:10:05 +0000 http://www.mountaingrafix.eu/?p=353#comment-596 Ich persönlich würde einen Patch begrüßen, da es erheblich modifizierte EL 1.x. installationen gibt, die sich ohne hohen Kostenaufwand nicht auf die aktuellen Versionen anpassen lassen. Selbst wenn dieser Patch 50,- EUR kosten würde, greife ich hier lieber zu als 500 - XXXX € auszugeben um mein Projekt auf den neusten Stand zu bringen. Solch hohen Ausgabe können die meisten bestimmt nicht für Ihr Projekt verkraften. Ich persönlich würde einen Patch begrüßen, da es erheblich modifizierte EL 1.x. installationen gibt, die sich ohne hohen Kostenaufwand nicht auf die aktuellen Versionen anpassen lassen. Selbst wenn dieser Patch 50,- EUR kosten würde, greife ich hier lieber zu als 500 – XXXX € auszugeben um mein Projekt auf den neusten Stand zu bringen. Solch hohen Ausgabe können die meisten bestimmt nicht für Ihr Projekt verkraften.

]]>