Druckbare Version des Themas
Hier klicken um das Thema im Original Format zu betrachten.
CMS - Der Dirigent > Installation > Dedi-Seite gehackt!!!
Geschrieben von: mvsxyz am 28. Oct 2005 - 09:26
Wenn ich über forum.der-dirigent.de komme, dann bekomme ich nur das hier zu sehen

http://www.holger-stitz.spacig.de/dedi_pics/dedi_gehackt.png

Ebenso über www.der-dirigent.de. ph34r.gif

Über http://forum.der-dirigent.de/index.php kommt man noch ins Forum. Es muss also an einer index.html liegen, die jemand auf dem Server platziert hat... rolleyes.gif

Geschrieben von: utem am 28. Oct 2005 - 09:29
Dringend! Habe gerade versucht, die Dedi-Seite aufzurufen, es kommt eine Hacker-Meldung!

Ute

Geschrieben von: marcoHH am 28. Oct 2005 - 09:30
Kann ich bestätigen blink.gif

Die Frage ist nun nur, wie die index.html auf den Server gekommen ist, über das CMS »der Dirigent«? Dann müsste ich mir wohl Sorgen machen...

Viele Grüsse

Marco

Geschrieben von: hk-cons am 28. Oct 2005 - 10:56
hmmm ... eher über eine sicherheitslücke bei 1und1 sad.gif

Geschrieben von: Eppi am 28. Oct 2005 - 12:30
ich komme leider erst nächste woche dazu die logdateien auszuwerten, oder hat jemand von euch lust dazu?

gruß, paul

Geschrieben von: gunni am 28. Oct 2005 - 17:13
keine Zeit. huh.gif
Die Pflichten eines Admins würde ich aber anders definieren. Stärkt nicht den Vertrauen in das Projekt. mad.gif

Geschrieben von: hk-cons am 28. Oct 2005 - 18:50
QUOTE (gunni @ 28. Oct 2005 - 18:13)
keine Zeit. huh.gif
Die Pflichten eines Admins würde ich aber anders definieren. Stärkt nicht den Vertrauen in das Projekt. mad.gif

schön ...
dein erster beitrag nach nem halben jahr in der community, läßt auf rege mitarbeit schließen, oder auch, dass du dedi so oft einsetzt, dass du dazu nicht kommst .. es sei dir vergönnt
aber was hindert dich, dich stärker einzubringen?
ok, keine zeit, oder auch keine tiefgreifende kenntnisse von irgendwas, meine giftigen beiträge, oder sonstwas ....

Geschrieben von: toddyy am 28. Oct 2005 - 19:00
wurde "nur" die index.html gehackt. also mit einem upload der orginaldatei wurde alles wieder hergestellt...?

Geschrieben von: gustaf am 28. Oct 2005 - 19:11
QUOTE (hk-cons @ 28. Oct 2005 - 19:50)
aber was hindert dich, dich stärker einzubringen?
...

FULL ACK !!!

Ich denke Eppi und die anderen Betreiber - wenn es sie gibt - haben auch genug um die Ohren.

Und nebenbei.
Das Durchsuchen der Logs wird nicht viel bringen. Es gehört zum guten Ton eines Hackers seine Spuren zu verwischen, auch die die aufzeigen könnten über welches Loch im System er Zugriff bekommen hat. Er möchte ja möglicherweise zurück kommen (hoffen wir mal nicht ph34r.gif )

Geschrieben von: hk-cons am 28. Oct 2005 - 19:21
es braucht keine index.html, wenn keine da ist, ist der apache so klug (weil man es ihm vorher sagt) und sucht sich irgendwas anderes mit index vor dem dot ...

Geschrieben von: MaZderMind am 28. Oct 2005 - 20:14
Hi
Da eben auch Domänen gehackt wurden, auf denen kein Dirigent läuft (das Wiki oder auch die Forumsseite) denke ich nicht dass das ein Bug in DeDi ist, sondern dass da tatsächlich ejamnd auf einer höheren Ebene (1&1 Server?) eingestiegen ist. Wenn tatsächlich noch mehr Domänen betroffen waren hat er vllt einfach nur seine index.html in alle Kundenverzeichnisse eines Servers geschrieben. Dann könnten wir dei Logs lange durchsuchen ohne was zu finden.

Gruß, Peter

Geschrieben von: Eppi am 28. Oct 2005 - 20:23
QUOTE
wurde "nur" die index.html gehackt. also mit einem upload der orginaldatei wurde alles wieder hergestellt...?

es wurde einfach in jedes verzeichnis eine index.html geschoben, die ich auf die schnelle in index2.html umbenannt habe. zu weiterem nachforschen bin ich noch nicht gekommen.

gruß, paul

Geschrieben von: MaZderMind am 29. Oct 2005 - 00:04
Hi
Und damit wir alle nach dem Schreck auch wieder mal lachen können, hier noch was ganz besonderes übers http://www.spiegel.de/kultur/zwiebelfisch/0,1518,381771,00.html.. SCNR biggrin.gif

Gruß, Peter

Geschrieben von: luxli am 29. Oct 2005 - 00:21
Hi

ein Danke für die Info per Feed:D

so sollte es immer sein wenn etwas schief geht

Geschrieben von: Olaf am 29. Oct 2005 - 00:58
Und da hackt sich sozusagen die Katze in den eigenen Schwanz laugh.gif

Geschrieben von: summerbrother am 29. Oct 2005 - 07:50
sollte ich dem newsletter wegen, nochmal nachhacken ? ph34r.gif

Geschrieben von: MaZderMind am 29. Oct 2005 - 13:04
Hi
Was genau meinst du?
Okay ich denke die Community sollte wissen, dass das DeDi-Team diesen Vorfall ernst nimmt. Wir haben angefangen einen Notfallplan aufzustellen, dfazu gehört u.A. dass jeder die Tele und Handynummern des anderen kennt und so eine schnellere Kommunikation und vorallem bessere Reaktionszeiten als dieses mal erreichen. außerdem haben jetzt mehr leute Zugang zu Datenbank- und FTP-Servern, sodass auch wenn eppi mal nicht erreichbar ist jemand die Seite, das wiki und das Forum wiederherstellen kann.

Gruß, Peter

Geschrieben von: summerbrother am 29. Oct 2005 - 14:12
@peter wen meinst du denn jetzt. Ich oder irgendwer würde nie anzweifeln, das hier irgendjemand irgendetwas nicht irgendwie ernst nehmen würde ...

Geschrieben von: MaZderMind am 29. Oct 2005 - 14:37
Hi
Das war keine Kritik oder an irgendwen gerichtet, wollte nur ne Statusmeldung bringen und der community zeigen dass was passiert.
Gruß, Peter

Geschrieben von: gustaf am 29. Oct 2005 - 14:39
QUOTE (summerbrother @ 29. Oct 2005 - 08:50)
sollte ich dem newsletter wegen, nochmal nachhackenph34r.gif

Vorsicht, man könnte sonst annehmen du steckst hinter dem "Hacker", oder ist es ein Rechtschreibfehler laugh.gif

Geschrieben von: summerbrother am 29. Oct 2005 - 15:08
@peter ich habs auch nicht als kritik aufgefasst. Ist ja schön wenn was passiert. Aber verzeih mir meine "erfahrunsgebeutelte" (jaha, ich bin auch schon etwas älter.. ) tongue.gif Skepsis.

@gustaf dem aufmerksamen leser ist peters http://www.spiegel.de/kultur/zwiebelfisch/0,1518,381771,00.html sicher nicht entgangen. Aber danke, das du mir solche Fähigkeiten zusprichst. Es gibt schon die ein oder andere Situation, da würd ich gern sowas können... wink.gif

Geschrieben von: Olaf am 29. Oct 2005 - 16:16
Ich meinte mit meinem Post, dass wenn die HP offline ist es auch keinen Feed gibt ohmy.gif

Ansonsten, alles korrekt, wir werden versuchen das zu verbessern.....

Geschrieben von: MaZderMind am 29. Oct 2005 - 17:59
Hm Wenn der nöchste Hacker genauso doof ist, dann schon wink.gif Bzw. dieses mal hätte es auch funktioniert, wenn jemand eine Nachricht hätte absetzen können.

Gruß, Peter

Geschrieben von: roberto am 29. Oct 2005 - 21:12
QUOTE (gustaf @ 29. Oct 2005 - 15:39)
QUOTE (summerbrother @ 29. Oct 2005 - 08:50)
sollte ich dem newsletter wegen, nochmal nachhackenph34r.gif

Vorsicht, man könnte sonst annehmen du steckst hinter dem "Hacker", oder ist es ein Rechtschreibfehler laugh.gif

Auch die Grammatik! Dann aber bitte auch "Sollte ich wegen des Newsletters wegen ..."
Bekanntlich ist ja der Dativ dem Genitiv sein Tod. biggrin.gif

Geschrieben von: summerbrother am 30. Oct 2005 - 07:34
Ich sag dazu nur:

Reden ist Schweigen,
Silber ist Gold

Geschrieben von: Jan am 02. Nov 2005 - 01:23
Mmh, ein Spaß ? Ich sage mal live mitbekommen...seit 1:20 gibts ne mehr oder minder nette vorgeschaltete Homepage...vielleicht wärs doch ganz interessant was da vor sich geht, und in welcher Ecke genau.

EDIT: Gruß, da jetzt wahrscheinlich gerade von dem Betreffenden sowieso mitgelesen wird.

Geschrieben von: ketti am 02. Nov 2005 - 01:58
ich habe die index.html mal eben in index.html.hacked umbenannt (indem ich ebenfalls eine sicherheitslücke ausgenutzt habe), so dass jetzt wieder die korrekte startseite angezeigt werden sollte.
über die von mir benutzte sicherheitslücke wurde eppi bereits von mir informiert.

ich hoffe ihr werdet mir in diesem fall die unerlaubte änderung von daten (die vom hacker platzierte index.html umbenennen) nachsehen.

Geschrieben von: Eppi am 02. Nov 2005 - 02:06
bis jetzt hat sich auch noch keiner wirklich die logdateien angeschaut dry.gif

gruß, paul

Geschrieben von: Eppi am 02. Nov 2005 - 02:28
ketti schaut sich die jetzt mal an smile.gif

gruß, paul

Geschrieben von: ketti am 02. Nov 2005 - 04:14
Eigentlich wollte ich heute mal früh ins Bett gehen sad.gif
Also ich habe die Logs durchgesehen, das Problem wurde identifiziert und wird hoffentlich behoben, wenn Eppi aufwacht.
Es handelt sich dabei um ein Konfigurationsproblem, d.h. für andere Installationen besteht erstmal keine Gefahr.

Jan: Dein Gruß kam wohl zu spät. Die Startseite wurde um 0:45 geändert und dann war der Hacker noch bis 1:01 auf den DeDi-Seiten und im Forum unterwegs. Er wollte sogar in diesem Thread posten, aber zog es dann doch vor sich nicht zu registrieren.

Gute Nacht allerseits

PS: Es wäre nett, wenn der Hacker und eventuelle Nachahmungstäter davon absehen könnten die Startseite wieder zu ändern. Danke!

Geschrieben von: rfurrer am 02. Nov 2005 - 07:44
QUOTE
PS: Es wäre nett, wenn der Hacker und eventuelle Nachahmungstäter davon absehen könnten die Startseite wieder zu ändern. Danke!


tongue.gif Seit wann gibt es denn nette Hacker sad.gif

Rolf

Geschrieben von: Tiggr am 02. Nov 2005 - 08:38
Hiho!

Wenn ihr den Fehler behoben habt, könnt Ihr dann mal durchgeben, woran es lag? Damit wir alle nachprüfen können, ob unser System sicher ist!

Tschüss
Tiggr

Geschrieben von: Olaf am 02. Nov 2005 - 08:43
QUOTE (rfurrer @ 02. Nov 2005 - 07:44)
tongue.gif Seit wann gibt es denn nette Hacker sad.gif

Also ich find das schon sehr nett wenn der Hacker ne Stunde auf den Server ist und nix weiter macht als eine index.html abzulegen!

Geschrieben von: Tiggr am 02. Nov 2005 - 09:03
Hiho!

Jau, reines Defacing find ich noch recht harmlos! Vorallem wenn er noch nichtmal eine Orginaldatei übeschreibt!

Wenn ich mir vorstelle, der hätte die Forendatenbank gelöscht.... blink.gif

Er hat uns gezeigt er kanns, wir haben was daraus gelernt, und im Prinzip hat er uns vor schlimmeren bewahrt!

Es gibt wirklich schlimmeres!

Tschüss
Tiggr (hat ein Herz für echte Hacker, die nicht mit Spam-Bots Geld verdienen)

Geschrieben von: rfurrer am 02. Nov 2005 - 10:44
QUOTE (Olaf @ 02. Nov 2005 - 09:43)
QUOTE (rfurrer @ 02. Nov 2005 - 07:44)
tongue.gif Seit wann gibt es denn nette Hacker  sad.gif

Also ich find das schon sehr nett wenn der Hacker ne Stunde auf den Server ist und nix weiter macht als eine index.html abzulegen!

Ok, so gesehen war das ein sehr netter Hacker.

Aber eigentlich ist ein Hacker doch immer böse, macht er doch was, wozu er eigentlich gar nicht das Recht hat dry.gif

Rolf

Geschrieben von: mika am 02. Nov 2005 - 10:51
also ich trenn da schon zwischen "hacker" und "cracker" - der eine hat interesse, weist llücken auf und hilft dadurch sie zu schließen. der andere nutzt sein wissen ausschließlich zu seinem vorteil. recht haben natürlich beide nicht - aber bei sicherheitsfragen kann man doch um einen solchen wink nur froh sein (das er wirklich nix weiter gemacht hat)

michel

Geschrieben von: MaZderMind am 02. Nov 2005 - 12:51
Hi
Jau, das seh ich genauso.. grade jetz wo sie mich im Schulnetzwerk erwischt haben und ich jetzt zur "Strafe" das Netzwerk nach Lücken abklopfen und mit dem IT-Typ eine Netzwerkdomäne einrichten soll.. Bei denen wars übrigens ein offener VNC-Server auf dem Adminserver, wobei das Passwort gleich dem Namen der Schule war. Damit konnte man sogar den Lehrern bein lesen ihrer Privatmails zugucken. War sehr lustig...

Gruß, Peter

Geschrieben von: Trias am 02. Nov 2005 - 20:10
QUOTE (Olaf @ 02. Nov 2005 - 08:43)
QUOTE (rfurrer @ 02. Nov 2005 - 07:44)
tongue.gif Seit wann gibt es denn nette Hacker  sad.gif

Also ich find das schon sehr nett wenn der Hacker ne Stunde auf den Server ist und nix weiter macht als eine index.html abzulegen!

und nicht mal eine News bekommen

sowas. wink.gif

Geschrieben von: hk-cons am 02. Nov 2005 - 20:43
QUOTE (MaZderMind @ 02. Nov 2005 - 12:51)
Hi
Jau, das seh ich genauso.. grade jetz wo sie mich im Schulnetzwerk erwischt haben und ich jetzt zur "Strafe" das Netzwerk nach Lücken abklopfen und mit dem IT-Typ eine Netzwerkdomäne einrichten soll.. Bei denen wars übrigens ein offener VNC-Server auf dem Adminserver, wobei das Passwort gleich dem Namen der Schule war. Damit konnte man sogar den Lehrern bein lesen ihrer Privatmails zugucken. War sehr lustig...

Gruß, Peter

komm erzähl .....

Geschrieben von: MaZderMind am 03. Nov 2005 - 13:31
QUOTE
und nicht mal eine News bekommen

?

QUOTE
komm erzähl .....

??

Bin ich nur zu Müde? Was genau meint ihr jeweils..?

Gruß, Peter

Geschrieben von: Eppi am 03. Nov 2005 - 13:48
QUOTE
komm erzähl .....
??

na was die lehrer so gemailt haben laugh.gif

gruß, paul

Geschrieben von: MaZderMind am 03. Nov 2005 - 14:28
Och nich viel.. wir hatten ja nur wenige Minuten bis sies bemerkt haben. Vorallem Private Sachen ^^ viel interessanter war, dass auch der Teamserver das selbe Passwort verwendete und dort lagen Zeugnisvorlagen, Kursarbeiten und andere spannende Dokumente. Aber als ehrliche Hacker habe wir nur Trophäen mitgenommen und keinen Schaden angestellt und mittlerweile gibtsauch bessere Passwörter ^^

Gruß, Peter

Geschrieben von: hk-cons am 03. Nov 2005 - 20:55
also das problem der trivialen passwörter ...
name von ehepartner, freund/in, katze, hund, automarke, autowunschmarke, firmenname etc

Geschrieben von: MaZderMind am 05. Nov 2005 - 03:27
Hi
Ja das ist so ne Sache.. Ich benutze auch fast immer das selbe Passwort -- und wehe es wird irgendwann mal bekannt.. Dann ist man seine Identität ruckzuck los und andere Posten unter eignenem Namen in Foren, schreiben Mails und lesen Briefe im IMAP-Konto..
Ist mir mal wirklich so gegangen, als ich einen Codeteil in einem Forum gepostet hatte und vergessen hatte meine persöhnlichen Zugangsdaten zu entfernen. Zum Glück hat ein Netter Admin rechtzeitige Maßnahmen eingeleitet -- aber es war schon gruslicg, als ich mich plötzlich per Mail selbst vor dem Diebstahl meines eigenen Passworts gewarnt hab wink.gif

Gruß, Peter

Geschrieben von: Olaf am 07. Nov 2005 - 18:14
Mich würde mal interessieren wie weit man hiermit ist.

Lieber Hacker, ist das gestopft?

Geschrieben von: hk-cons am 07. Nov 2005 - 18:28
meinst du nun afghanenhacker oder den nächtlichen, der sich outete?

Geschrieben von: gunwalt am 08. Nov 2005 - 11:53
olaf hat wahrscheinlich als einzigster den Rest der Lage geblickt, der Rest nicht.

Geschrieben von: hk-cons am 08. Nov 2005 - 12:42
und was willst du uns damit sagen?

Geschrieben von: Freeman am 08. Nov 2005 - 12:46
-> Warum macht sich ein "Hacker" / "Cracker" die Mühe und setzt sich der Gefahr der Strafverfolgung aus?
--> Weil er sooo lieb ist ph34r.gif
-> Was ist mit der Auswertung?
-> Stichwort Transparenz
-> Strafanzeige erfogt?
-> Was war die Lücke?

Soll ich die Liste weiterführen?

Geschrieben von: hk-cons am 08. Nov 2005 - 14:22
die fragen sind in diesem thread schon beantwortet.
so z.b., dass jeder betreiber bitte selbst verantwortlich ist, dass sein system sicher ist vor hackern.
stichworte sollen nur sein: safe_mode, openbase_dir, url_fopen_wrappers, passworte
anzeige erstatten ..... toll, ich stelle mir die zuständige staatsanwaltrschaft vor, wenn sie nach der höhe des schadens fragt ... zwei stunden fehlersuche 10 minuten dateien austauschen ... sind im teuersten falle 300 euronen .... da landet die akte tief unten im stapel und nach einer angemessenen zeit kommt ein brieflein .. verfahren wegen geringfügigkeit eingestellt ....

Geschrieben von: Freeman am 08. Nov 2005 - 14:46
@hk-cons

Die Höhe des Schadens ist nicht ausschlaggebend für die Einstellung eines Verfahrens, sondern das öffentliche Interesse, und dieses richtet sich halt nach mehreren Faktoren....

Aber schön dass ja die auftretenden Fragen alle beantwortet sind.

Dann könnte man ja den Thread schließen, last Statement abgeben und Link von der Startseite entfernen...

Mahlzeit blink.gif

Geschrieben von: hk-cons am 08. Nov 2005 - 17:05
QUOTE
sondern das öffentliche Interesse

das wird riesengroß sein, etwa so als wenn das netz des kanzleramtes gehackt wurde oder sich ein virus verbreitet, der beim einschalten bei ms die registry löscht und bei linux/unix die etc/passwd überschreibt ...
nun wollen wir doch mal die kirche im dorfe lassen .....
und wie der hacker hineingelangt ist, wird hier sicherlich wegen nachahmer nicht erläutert, auch wenn die transparenz leidet.
aber ich schrieb ja, wie es verhindert werden kann .....

Geschrieben von: Olaf am 08. Nov 2005 - 17:55
Ich wollt doch nur wissen ob das Loch gestopft ist sad.gif

Nu lasst man den Hacker in Frieden, letztlich hat er uns auf ein Problem aufmerksam gemacht. Sicher nicht auf die korrekte Art, aber wer weiß denn ob er es nicht sogar schon auf dem korrektem Weg früher mal gemacht hat.

EDIT Gunwalt, ich glaub ich habs verstanden und sehr gelacht laugh.gif

Geschrieben von: hk-cons am 08. Nov 2005 - 19:56
ich hack/hark/hak/hagg doch garnich .... und ob eppi nun einen extra vhost für die spielwiese hat ..... wir werden es bald erfahren

Geschrieben von: Trias am 13. Nov 2005 - 20:38
QUOTE
Mich würde mal interessieren wie weit man hiermit ist.

Lieber Hacker, ist das gestopft?

nein. grad nochmal nachgeschaut.
ist allerdings hp-spezifisch - also das erste problem.
das 2. nicht.

Geschrieben von: Olaf am 13. Nov 2005 - 20:44
Jo, Danke blink.gif

Mach keinen Schaden ja, hier haben viele Leute Zeit investiert.....

Geschrieben von: gunwalt am 13. Nov 2005 - 21:00
QUOTE (Trias @ 13. Nov 2005 - 21:38)

nein. grad nochmal nachgeschaut.
ist allerdings hp-spezifisch - also das erste problem.
das 2. nicht.

hört sich fast geoutet an !!??

Geschrieben von: Eagle1 am 23. Nov 2005 - 23:19
Was war es denn nun?? Ich tippe mal auf PHP rolleyes.gif

Hier war die Karawane auch....http://www.google.de/search?hl=de&q=EXPaethitec+0wn3d&btnG=Suche&meta=

Was ist damit? http://www.heise.de/newsticker/meldung/65598.

Bitte mal das Ergebnis hier posten - ich mache mir um meine 65.832 DEDI-Installtionen sorgen unsure.gif

Gruß Roland

Geschrieben von: Eppi am 23. Nov 2005 - 23:24
hi,

65.832 DeDi-Installationen und nur 22 Beiträge im Forum - ich würde sagen du bist ein Genie! Also das erste war ein Hack von der Spielwiese aus - Sourcecodemodul. Dies ist nun nicht mehr möglich, da diese jetzt auf einem anderen Server liegt. Die anderen "bekannten" Sicherheitslücken sollten durch den von Roberto zur Verfügung gestelltem http://forum.der-dirigent.de/index.php?act=ST&f=30&t=5395 beseitigt werden.

gruß, paul

Geschrieben von: elbundy99 am 25. Nov 2005 - 09:18
QUOTE (Eppi @ 23. Nov 2005 - 23:24)
Die anderen "bekannten" Sicherheitslücken sollten durch den von Roberto zur Verfügung gestelltem http://forum.der-dirigent.de/index.php?act=ST&f=30&t=5395 beseitigt werden.<br /><br />

Hi,
ich muss wohl eine ziemlich lange Leitung haben, aber ich habe die Thread über den Hack in diesem Forum gelesen.

Es gibt eine Erweiterun 0.4 die aber mehr als den Sicherheits-Patch enthält. Es gibt einen einzelen Patch, bei dem aber expliziet darauf hingewiesen wird das die Erweiterunf 0.3.1 und älter nicht installiert sein dürfen. Es wurde darauf hingewiesen das alles nötige im Forum steht.

Ich habe keine Ahung von PHP und stehe wie der Ochs form Berg und habe keine Ahnung wie ich mein DeDi1.0.1+Erweiterung0.3.1 nun sicherer machen soll.

Habe ich den Thread "update DeDi1.0.1+Erweiterung0.3.1 für Dummies" nur über sehen?
Sonst kann ich einen aufmachen in der Hoffnung das ich auch endlich begreif wie es geht.

Bye
EL

Geschrieben von: hk-cons am 25. Nov 2005 - 09:31
warte noch ein paar stunden ... dann gibts eine Version 01.00.02
damit verschwinden alle anderen Erweiterungen aus dem Downloadbereich

Geschrieben von: roberto am 25. Nov 2005 - 09:47
Ja, das ist dann für alle Installationen mit Erweiterung 0.3.1 geeignet. Das ist nämlich ein kumulatives Bugfix inklusive funktioneller Erweiterungen.
Der Sicherheitspatch für die Version 1.00.01 war für alle gedacht, die eine normale Installation ohne die Funktionserweiterungen haben,und dabei auch bleiben wollen. Außerdem sollte es auch allen, die selbst Anpassungen am DeDi-Kern gemacht haben, leichter werden, die sicherheitsrelevanten Änderungen einzubauen (das ist da einfach übersichtlicher).

Geschrieben von: Shortie am 25. Nov 2005 - 20:05
hmm ehrlich gesagt bin ich jetzt etwas schockiert.
Es ist Freitag abend und ich stöbere ohne Grund etwas im Forum und was muß ich bemerken ?
Da gibts wichtige Änderungen im Code bzw. Workarounds und erwähnt werden diese nicht auf der Startseite oder sonst irgendwo zentral, sondern lediglich in einem Thread über die gehackte Dedi-Seite.

Um Dedi zu etablieren und nicht als "Adminspielzeug für kleine Seiten" verkommen zu lassen, sollten solche Dinge aber klar ersichtlich sein. Nicht jeder hat täglich Zeit um sich hier im Forum alles durchzulesen.

Vielleicht sollte die Hauptcrew um Dedi mal darüber nachdenken sowas schnellstmöglichst als Patch (damit meine ich nicht Erweiterungen die sein können oder nicht) zu veröffentlichen.

Alleine durch die Erweiterung scheint es ja mittlerweile eine Art Fork zu geben.
Wenn dann noch Olafs XHTML-Edition sich irgendwo durchsetzt haben wir einen weiteren Fork.
Macht sowas in einem so jungen Stadium denn wirklich Sinn ?

Gruss Shortie

Geschrieben von: summerbrother am 25. Nov 2005 - 20:38
QUOTE (Shortie @ 25. Nov 2005 - 20:05)
Vielleicht sollte die Hauptcrew um Dedi mal darüber nachdenken sowas schnellstmöglichst als Patch (damit meine ich nicht Erweiterungen die sein können oder nicht) zu veröffentlichen.

Wieso Hauptcrew ? Ich glaube die letzte Zeit hat gezeigt, das es sowas wie eine Crew nicht gibt, es gibt einen Steuermann und ein paar die Rudern, das wars aber dann.

Wenn Olaf nicht Klabautermann spielen würde, hätten wir bis heute keine lauffähige Version, die entsprechend gepflegt wird.
Nur mal so zur Beachtung die zweite XHTML kam ca. 2 Stunden vor Veröffentlichung der bbcode-Erweiterung 2 ins öffentliche Forum und hat diese schon beinhaltet. Sie enthält alle seit der letzten Veröffentlichung (rund 4 Wochen) gefundenen Bugs, alle bekannten Sicherheitspatches und sonstige Verbesserungen. Das nenne ich Zusammenarbeit und Verantwortung für ein Projekt.

Insofern sollte man die "reguläre" Dedi 1.0.0.1 eigentlich gar nicht mehr zum Download anbieten.

Geschrieben von: MaZderMind am 25. Nov 2005 - 20:47
QUOTE
Nur mal so zur Beachtung die zweite XHTML kam ca. 2 Stunden vor Veröffentlichung der bbcode-Erweiterung 2 ins öffentliche Forum und hat diese schon beinhaltet.

Jau, Olaf hat per Mail gefragt, ich habs ihm zum testen geschickt, er hats eingebaut und das wars. Ich setze meinen enuen Projekte auch nurnoch mit seiner Version auf. aber mal abwarten was die Zukunft bringt.

Gruß, Peter

Geschrieben von: Shortie am 25. Nov 2005 - 21:24
QUOTE (summerbrother @ 25. Nov 2005 - 20:38)
QUOTE (Shortie @ 25. Nov 2005 - 20:05)
Vielleicht sollte die Hauptcrew um Dedi mal darüber nachdenken sowas schnellstmöglichst als Patch (damit meine ich nicht Erweiterungen die sein können oder nicht) zu veröffentlichen.

Wieso Hauptcrew ? Ich glaube die letzte Zeit hat gezeigt, das es sowas wie eine Crew nicht gibt, es gibt einen Steuermann und ein paar die Rudern, das wars aber dann.

Wenn Olaf nicht Klabautermann spielen würde, hätten wir bis heute keine lauffähige Version, die entsprechend gepflegt wird.
Nur mal so zur Beachtung die zweite XHTML kam ca. 2 Stunden vor Veröffentlichung der bbcode-Erweiterung 2 ins öffentliche Forum und hat diese schon beinhaltet. Sie enthält alle seit der letzten Veröffentlichung (rund 4 Wochen) gefundenen Bugs, alle bekannten Sicherheitspatches und sonstige Verbesserungen. Das nenne ich Zusammenarbeit und Verantwortung für ein Projekt.

Insofern sollte man die "reguläre" Dedi 1.0.0.1 eigentlich gar nicht mehr zum Download anbieten.


Unter Hauptcrew verstehe ich Leute wie Eppi, Olaf und andere die sich um den Core usw. kümmern. Auch daß Olaf eine XHTML-Version erstellt hat, ist was gutes und hat gewiß für die Zukunft Vorteile.
Kann ich diese denn einfach so über eine bestehende Version drüberinstallieren oder quietscht es dann ? Ich vermute eher letzteres. Daher sollten auch entsprechende Patches für die Vorgängerversion verfügbar sein. Keiner verlangt bei Version 4.5 noch die verfügbarkeit für Patches für 1.0.1.

Und da kommt der Punkt der Professionalität. Man verkauft seinem Kunden ein System (Nicht Dedi selbst - sondern den gesamten Auftritt) - der geht davon aus, daß es entsprechend sicher ist. Als Dienstleister möchte man das ja auch bieten. Nur wenn ich nun mal rechne wieviel Zeit ich zum finden der Fixes im Forum und patchen des Quellcodes in 3 Projekten nun investieren muß ist der Punkt der Professionalität nicht gegeben. Das zahlt mir kein Kunde, ein Upgrade (um die Zeit dem Kunde gegenüber abrechnen zu können) der Seite nach 3 - 6 Monaten ebensowenig.

Was noch angeboten wird oder nicht entscheiden ja auch einige wenige Personen. Diese sollten aber sich im Klaren sein ob es noch Sinn macht. Wenn es Sinn macht sollte sie entweder als "Not supportet" oder so gekennzeichnet werden oder entsprechend gepflegt werden. Nur ein Produkt welches von heute auf morgen (unangekündigt) seinen Supportstatus verliert kann dann nicht als professionelle Lösung gelten. Das ist dann eine Frickellösung welche man seinem zahlenden Kunden besser nicht anbietet.

Gruss Shortie

Geschrieben von: Olaf am 25. Nov 2005 - 21:25
laugh.gif köstlich

Aber lasst gut sein, was ich von der neuen Version bis jetzt gesehen habe ist die erst mal zu 99,9% mit der Edition identisch. Der Rest wird bestimmt auch noch werden. Dann kann nämlich DIE wieder eingestampft werden.
Obwohl ich hab ja jetzt erst die neuen Dateien gesehen, aber da dürfte an den alten nicht viel Unterschied mehr dazukommen.

Dann haben wir das was wir seit Januar erwarten und noch vor Weihnachten, nu haben wir leider doch schon dicke Pullover an biggrin.gif tongue.gif wink.gif

Geschrieben von: summerbrother am 25. Nov 2005 - 21:44
QUOTE (Olaf @ 25. Nov 2005 - 21:25)
Aber lasst gut sein, was ich von der neuen Version bis jetzt gesehen habe ist die erst mal zu 99,9% mit der Edition identisch.

Ja, wozu brauchen wir denn dann noch ne neue Version ? cool.gif

*ups* böser achim...böser...


Geschrieben von: hk-cons am 25. Nov 2005 - 21:59
QUOTE
Das zahlt mir kein Kunde, ein Upgrade (um die Zeit dem Kunde gegenüber abrechnen zu können) der Seite nach 3 - 6 Monaten ebensowenig.

ich muss mich echt immer wieder wundern ....
wenn einer SAP im Hause hat, so zahlt er breitwilligst die horrenden Summen für die Berater und ist er gläubiger M$-Fan, so gibt er auch Unsummen für einen MSCE aus ...
Aber wenns ums Internet geht, da soll alles möglichst cool, geil, lebendig, fehlerfrei, barrierefrei (wer denkt bei M$ an diesen Begriff), sicher etc sein, und wenns geht, auch noch umsonst, denn GEIZ IST GEIL.

und shortie, es zwingt dich ja keiner alle drei monate einen upgrade durchzuführen, der letzte ist ja wie oft richtig bemerkt wurde, vor etwa einem Jahr erfolgt.
andere wollen hier monatlich ein update sehen, dann würdest du jeden Monat vor dem Problem stehen, müßtest entscheiden, ist es relevant aus welcher Sicht auch immer, teste ich vorher, vertraue ich ....
wie sagte unser Ex-Kanzler mal ... wir wollen doch nun mal die Kirche im Dorfe lassen

Geschrieben von: roberto am 25. Nov 2005 - 22:17
QUOTE (Shortie @ 25. Nov 2005 - 21:24)
Daher sollten auch entsprechende Patches für die Vorgängerversion verfügbar sein.

Aber sonst geht es Dir noch gut, ja?
Den Patch gibt es und der war schon vor der XHTML-Version 2 da. Dass das nicht auf der Homepage ganz groß steht, finde ich auch nicht gut, das kann ich aber nicht ändern.
Auch wenn wir hier quasi alles in der Freizeit machen, sehe ich dennoch die Verpflichtung, ein gewisses Maß an Verlässlichkeit zu bieten. Trotzdem solltest Du vielleicht ein klein wenig mehr Zurückhaltung mit solchen Sprüchen üben:
QUOTE
Und da kommt der Punkt der Professionalität. Man verkauft seinem Kunden ein System (Nicht Dedi selbst - sondern den gesamten Auftritt) - der geht davon aus, daß es entsprechend sicher ist. Als Dienstleister möchte man das ja auch bieten. Nur wenn ich nun mal rechne wieviel Zeit ich zum finden der Fixes im Forum und patchen des Quellcodes in 3 Projekten nun investieren muß ist der Punkt der Professionalität nicht gegeben. Das zahlt mir kein Kunde, ein Upgrade (um die Zeit dem Kunde gegenüber abrechnen zu können) der Seite nach 3 - 6 Monaten ebensowenig.

Da Du selbst nicht auf die Idee kommst, gebe ich es Dir schwarz auf weiß: Ich verdiene kein Geld damit. Ich käme auch nie auf den Gedanken, von Shortie dafür Geld zu verlangen.

@summerbrother: Es gibt eben auch Leute, die die Version 1.00.01 ohne Erweiterungen nutzen wollen. Aus dem Grund gabe es halt auch den darauf passenden Patch.

Geschrieben von: Shortie am 25. Nov 2005 - 22:20
Also der SAP-Vergleich hinkt ja wohl etwas.
Ein Unternehmen welches SAP im Einsatz hat hat bestimmt keine Dedi-Webseite sondern eher ein CMS in der Größenordnung von Reddot, Typo3, Vignette Storyserver oder so im Einsatz. Denen sind 500-1000 Euro egal.
Andersrum sind potentielle Dedi-Kunde doch eher im KMU-Umfeld zuhause. Für die sind 1000 Euro hin oder her schon ne Menge Geld. Also mit Geiz ist geil hat das wirklich nichts zu tun.

Was die Upgrades angeht: Es geht hier nicht um Feature-Upgrades sondern um Security-Fixes.
Ein Kunde der ein neues Feature auf seiner Seite haben will oder statt HTML nun XHTML möchte weiß warum er es will und ist dann - nach meiner Erfahrung nach - auch bereit zu zahlen. Wenn es aber heißt das System hat Fehler, dann kommt die Frage "warum haben sie mir sowas verkauft ?" und er ist nicht bereit zu zahlen. Dann bedeutet es auf eigene Rechnung fixen oder Kunde verlieren.

Mit dem Testen geb ich dir recht - allerdings kann ich auch nicht jede Umgebung nachbilden. Derzeit habe ich insgesamt 5 Dedi-Installationen auf 3 verschiedenen Hostings laufen, welche sich teilweise doch stark unterscheiden.


Geschrieben von: MaZderMind am 25. Nov 2005 - 22:30
QUOTE
andere wollen hier monatlich ein update sehen

Ich erwarte, dass beim auftreten eines sicherheitsrelevanten Bugs ein Patch zur Verfügung gestellt wird. Dieser wird dann zeitnah in die aktuelle Verson eingepflegt und als Release zur Verfügung gestellt. Wann und ob ich das einspiele bleibt mir überlassen. So ist es bei anderen OS-Projekten üblich und ich sehe keinen Grund warum das hier nicht klappen sollte.

Gruß, Peter

[edit]
Nachdem die Lücke ausgenutzt wurde, hat das ja auch alles geklappt. Eppi hat uns einen Patch gegeben und die Community hat sich den für ihre Versionen angepasst. Es war zu dem Zeitpunkt nur leider schon zu spät..

Geschrieben von: Shortie am 25. Nov 2005 - 22:36
@Roberto:
Also haben wir doch beide festgestellt, daß die Veröffentlichung von Patches hier suboptimal gelöst ist. Aber darf man deshalb nicht die Kritik hier anbringen ?

Was die Sache mit dem Spruch zum Thema Professionalität und Programmierung in der Freizeit angeht:
Wenn Du oben auf "Das Projekt" klickst findest du folgendes:

Sie möchten Ihre Internetpräsenz selber pflegen?
Sie möchten einen professionellen Webauftritt?

Dann haben wir die Lösung für Sie.


Nun vorne hui - hinten pfui ? - das willst du doch sicherlich auch nicht oder ?

Ob ein Projekt nun in der Freizeit oder nicht entsteht ist doch zweitrangig - es muß in erster Linie sicher sein und einfach zu handhaben sein.
Da ich aber weiß wieviel Arbeit in Freizeitprojekten drinsteckt und ich auch von Freizeitprojekten bzw. generell OpenSource Projekten profitiere, vermittel ich das meinen Kunden und bitte sie - obwohl sie dafür zahlen - Erweiterungen die ich für sie schreibe der Community zurückzugeben, wie es bei dem SQL-Abfrage Modul auch geschehen ist.








Geschrieben von: hylli am 26. Nov 2005 - 09:31
@MaZDerMind&all
QUOTE
Ich erwarte, dass beim auftreten eines sicherheitsrelevanten Bugs ein Patch zur Verfügung gestellt wird. Dieser wird dann zeitnah in die aktuelle Verson eingepflegt und als Release zur Verfügung gestellt. Wann und ob ich das einspiele bleibt mir überlassen. So ist es bei anderen OS-Projekten üblich und ich sehe keinen Grund warum das hier nicht klappen sollte.

In diesem Zusammenhang möchte ich auf das kleine CMS http://www.php-fusion.co.uk verweisen.

Zugegeben:
In der Öffentlichkeit wurde dort bisher kein "Hackertest" durchgeführt, das heißt alles läuft intern. Sobald aber ein Sicherheitsloch entdeckt wurde wird es sofort durch einen Patch behoben. Gleichzeitig wird ein neues Gesamtpaket geschnürt!

Auch dieses System wird soweit ich weiß nur von einer Person entwickelt (kann mich da mittlerweile auch irren), die Community scheint ähnlich stark wie die von DeDi zu sein.

Auch wenn's sich's dabei eher um ein Community-System handelt - wobei man sich das so einrichten kann wie man möchte - gefällt mir, dass es regelmäßige Updates gibt und bei Sicherheitspatches auch gleichzeitig ein neues Paket geschnürt wird.Weiterhin gibt es ständig News, was momentan so läuft, auch das wäre wünschenswert!

Sollte man sich hier vielleicht mal überlegen, ob man das nicht auch auf die Reihe bringt.

Just my 2 Cents! Über alles andere will ich mich nicht auslassen, da ich auch nur Anwender (nichtkommerziell) bin und im großen und ganzen mit den Features von DeDi leben kann.

Hylli wink.gif

Powered by Invision Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)