tag:blogger.com,1999:blog-12774588.post115246415828809190..comments2008-07-02T09:57:59.290+02:00eMeidihttp://www.blogger.com/profile/06437194822789068554noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-12774588.post-41996596241528560072008-07-02T09:57:00.000+02:002008-07-02T09:57:00.000+02:00@s1ic3r: Verstehe leider nicht, was du damit sagen wolltest.eMeidihttp://www.blogger.com/profile/06437194822789068554noreply@blogger.comtag:blogger.com,1999:blog-12774588.post-29118531271976419302008-06-23T16:07:00.000+02:002008-06-23T16:07:00.000+02:00PG wird sogar durch den Contentfilter, welcher irgendein Script nicht toll findet gesperrt *g*S1ic3rhttp://www.blogger.com/profile/15117391602667613486noreply@blogger.comtag:blogger.com,1999:blog-12774588.post-1152552538965506772006-07-10T19:28:00.000+02:002006-07-10T19:28:00.000+02:00Sali Mario<BR/><BR/>Da Du fast alle offenen Fragen vom letzten Blog in diesem Blog nochmals neu aufgeworfen hast, habe ich mich entschieden, meinen Kommentar direkt hier abzugeben.<BR/><BR/>Wir konnten ja schon alle mit diesem Blog rechnen. Dass der durchgeführte Gegenschlag nichts gebracht hat, erstaunt mich persönlich nicht. Man muss jedoch sehen, dass es einen Versuch wert war. Es bestand doch eine Chance Dich auf dem falschen Bein zu erwischen. Auch „der Beste“ macht mal einen Fehler. Du kannst Dir vorstellen, dass die Entwicklung des Skriptes für diesen Versuch nicht ganz eine halbe Stunde gedauert hat. Dagegen werden Stunden verbaten um deinen Aktionen auf die Schliche zu kommen. Ist das nicht Paradox?<BR/><BR/><I>Bin ich nun ein Böser, weil ich a) aktiv oder durch Hinweise nach Exploits suche und b) dann auch hinterhältig Passwort-Daten sammle?</I><BR/>Diese Frage lässt sich ziemlich leicht beantworten: a) nein, b) ja. Ich habe überhaupt nichts gegen das Aufspüren von Sicherheitslöchern. Ich selber habe auch schon etliche gefunden und dies nicht nur bei pg. Die Frage ist immer wie man damit umgeht. Du ziehst eindeutig persönlichen Nutzen aus der Sache und somit müssen Deine Absichten böser Natur sein. Die bösartigen Absichten hast du eindeutig mit dem Publizieren einer Passwortliste beim dritten Hack bewiesen. Nicht einmal im schlimmsten Fall greift man zu einem solchen Mittel, zumal die Sicherheitslücke sofort nach der Entdeckung geschlossen wurde. Dies als Test zu bezeichnen zeugt eindeutig von Verantwortungslosigkeit. <BR/><BR/>Um gerade die nächste Frage vorab zu nehmen: Findest Du wirklich, dass Dein handeln Verantwortungsvoller ist als dasjenige von pg? Solange Du die Details des pg codes und die Entwicklungen nicht kennst, kannst Du wohl schlecht abschätzen, wie Verantwortungslos eine Sicherheitslücke war. Gerade beim dritten Hack stammte der Code von einem sehr erfahrenen Programmierer. Auf die Frage ob wir nun endlich aufgewacht sind, kann ich nur Antworten: Schon lange. Es ist jedoch nicht möglich rund 3500 Skripte innerhalb von ein paar Monaten zu durchforsten. Klar, man kann gerade diesen vierten pg Hack nicht schön reden. Zumal es eigentlich eine Neuentwicklung gewesen ist. Wir werden sicherlich die Konsequenzen aus dieser Sache ziehen.<BR/><BR/><I>Wem gibst du die Schuld, wenn auf Grund eines voraussehbaren Materialfehlers ein Autounfall passiert? Dem Hersteller oder dem Fahrer?</I><BR/>Wenn ein Sicherheitsloch voraussehbar gewesen wäre, wäre es mit hoher Wahrscheinlichkeit vor einer allfälligen Attacke geschlossen worden. Um diesen Vergleich noch etwas weiter zu führen. Nehmen wir an, Du wärst Käufer eines solchen Autos mit Materialfehler, von dem der Hersteller nichts weiss. Du hast einen Unfall und glücklicherweise geschieht Dir nichts. Der Begutachteter stellt erstaunlicherweise fest, dass es ein Materialfehler war. Was denkst Du, wartet er auch noch ein paar Tage oder Wochen ab, bevor er den Hersteller über das Problem informiert?<BR/><BR/>Zuletzt möchte ich noch den Kommentar von BlogginTom aufgreifen:<BR/><I>Drum mein Vorschlag: Wieso gehen beide (also eMeidi und PG) nicht aufeinander zu und sehen, ob sie nicht eine gemeinsame Basis für eine Verbesserung der PG-Sicherheit finden?</I><BR/>Meiner Einschätzung nach lag dies leider nie im Interesse von Mario. Ich erinnere zurück an den folgenden Blog: <A HREF="http://blog.emeidi.com/2005/12/partyguide-definitely-sucks.html" REL="nofollow">Partyguide definitely sucks</A>. Auf meinen Kommentar gab es leider nie eine Reaktion. Es lässt sich daraus schliessen, dass Mario nicht an einer solchen Zusammenarbeit interessiert ist. Spekulationen, wieso dies nicht der Fall ist, möchte ich hier mal weg lassen.<BR/><BR/>Im Gegensatz zum letzten Kommentar, wo der erste Abschnitt die Meinung von pg widerspiegelte, entspricht diesmal alles meiner eigenen Meinung.<BR/><BR/>Gruess<BR/><BR/>OliOlihttp://www.partyguide.chnoreply@blogger.comtag:blogger.com,1999:blog-12774588.post-1152509667096884842006-07-10T07:34:00.000+02:002006-07-10T07:34:00.000+02:00Über die Art und den Inhalt der Veröffentlichungen von eMeidi kann man sich sicherlich streiten. Allerdings stellt sich (aller-) spätestens jetzt die Frage, was Partyguide gegen die ständig neuen Sicherheitslücken zu tun gedenkt, denn dass etwas zu tun ist, ist wohl unbestritten. Mit diesem Hintergrund kann ich zwar nachvollziehen, dass einzelne Exponenten von Partyguide relativ "gehässig" reagieren, angebracht wäre jetzt aber wohl zu handeln.<BR/>Denn über eines sind wir uns wohl einig: Partyguide hatte bis heute einfach Glück, dass es die Sicherheitslücken nicht in die Printpresse "geschafft" haben. Wäre dies nämlich der Fall, wäre das ein immenser Imageschaden für PG, insbesondere auch in Bezug auf das ständige Wettrüsten gegen Konkurrenten wie tillate etc.<BR/><BR/>Drum mein Vorschlag: Wieso gehen beide (also eMeidi und PG) nicht aufeinander zu und sehen, ob sie nicht eine gemeinsame Basis für eine Verbesserung der PG-Sicherheit finden? Zumindest einen Versuch wärs doch wert...<BR/><BR/>Der obligate Disclaimer darf natürlich nicht fehlen: Ich kenne Jason, Inhaber und Geschäftsführer von Partyguide persönlich, obenstehende Meinung repräsentiert aber meine rein persönliche.BloggingTomhttp://bloggingtom.chnoreply@blogger.com