Danke für die Rückmeldung vom Admin und danke, dass er unseren Thread nicht dicht gemacht hat. Das ist wirklich fair! Auch bitten wir wegen unseres Hacks im Demosystem um Verständnis und Entschuldigung.
Der Admin ist gleichzeitig der Entwickler, also warum sollte ich berechtigte Kritik löschen? Nur Spam wird gelöscht, das kommt aber nur selten vor.
Wir bekommen tatsächlich massig Spam und sind darüber nicht begeistert.
Ich auch nicht, an Spam mangelt es mir nicht. ;(
Leider ist die erwähnte Seite leider nicht die einzige, die mit dem SWM diesen Unfug anstellt (Daten sammeln, Spam verschicken, Daten verkaufen, etc). Zugegeben, uns sind genauso die Hände gebunden. Selbst mit unserer Analyse des Systems (die nur aufgrund der spammer so intensiv durchgeführt wurde ), blieb ein Erfolg aus, auf die Hintermänner zu stoßen. Aber die Datensätze sind wirklich enorm, mit denen da versucht wird Geld zu verdienen ...
Na an die Leute kommt man sowieso nicht ran. Das Problem ist halt ich kann nicht jeden Käufer prüfen, ob derjenige Spam versenden will oder nicht. Ich denke mal die meisten sind seriöse Versender, vielleicht 1% sind halt die schwarzen Schafe. Wenn ich aber selbst von jemanden Spam bekomme und ich sehen, dass es mit dem SWM versendet worden ist, dann bekommt er erstmal eine Abmahnung, weil er gegen die Lizenzbedingungen verstösst und am Ende die Lizenz gesperrt, so dass zumindest eine Neuinstallation nicht mehr möglich ist.
Wie gesagt, wir wollen niemandem Schaden zufügen, daher haben wir uns auch ausdrücklich nicht an anderen Systemen, wie z.B dem der \"Segelschule\" vergriffen. Auch haben wir mit unserem Thread keine Anleitung gegeben, wie man die Probleme im Detail ausnutzt.
Wir hoffen einfach nur, dass in zukünftigen Versionen in erster Linie mehr auf die Sicherheit während der Entwicklung geachtet wird, und zum anderen durch geeignete Strategien ein Missbrauch der Software versucht wird auszuschließen. Ein Backend sollte mit genausoviel Mühe programmiert werden, wie die öffentlichen Scripte.
Ich weiss das es intern nicht sicher ist, gibt es auch nächste Woche ein Update, damit es intern sicherer wird. Natürlich darf man nicht immer nur von bösen Mitarbeitern ausgehen, die Daten klauen wollen. Ich denke mal kaum einer weiss, wie man das überhaupt machen kann.
Ich sagte bereits, dass Blind-SQL-Injections ebenfalls in öffentlichen Scripten möglich sind. Das darf nicht sein! Ich kann durch fiese SQL-Querys die Server zum Schwitzen bringen oder eben durch eingeschleuste Tools an die Daten gelangen. Für 99€ in der kleinsten Version, kann man schon etwas Qualität erwarten, oder nicht?
Ja mit welchem Parameter? Ich habe versucht alles von extern abzufangen was nur geht aber natürlich kann man nicht alles unterbinden, sonst geht überhaupt kein Aufruf mehr.
Noch ein Tipp im Zusammenhang mit dem Spamfall von der Segelschule. Da man über die Passwort-Vergessen funktion leicht auf die hinterlegte Mail des Superadmins kommen kann, ist das natürlich auch sehr einladenend für Spammer.
Das kann man nicht, auch wenn man den Nutzernamen superadmin eingibt, dann schickt er die E-Mail mit dem Passwort an die hinterlegte E-Mail-Adresse, falls überhaupt eine E-Mail-Adresse hinterlegt ist. Die E-Mail kann keiner abfangen, außer derjenige hat insgesamt Zugriff auf den Server, dann kann man das sowieso komplett vergessen.
Die automatsierten Anmeldungen und die daraus resultierenden Anmeldemails sind häufig deshalb möglich, weil man durch willkürliches Raten des Parameters M in der defaltnewsletter.php häufig auf Mailinglisten stößt, die nicht mit einem Captcha gesichert sind. Hier sollte man mit einem guten Hash arbeiten, der die Manipulation der Parameter erkennt.
Vom Prinzip her richtig, nur dann kann ein Normalmensch den Wert des Parameters M gar nicht mehr von Hand eingeben, das ist sehr ungünstig.
Zum Passwortproblem: wieso generieren sie denn nicht einfach ein neues Passwort, nachdem der Nutzer dieses vergessen hat? Dann haben Sie ihr Klartextproblem gelöst.
Das mit Passwort wird jetzt auf jeden Fall geändert, dann muss halt der Nutzer erstmal mit einem kryptischen Passwort leben und kann es später immernoch auf einen freundlicheren Wert ändern.