Confixx Lücke

[IchKANNhochdeutsch]

Als ich das heute gelesen hatte wurde mir sofort klar:
"Ist das gut, dass due NIEMALS Confixx einsetzt".

Ich habe mir schon gedacht, dass früher oder später böse Lücken gefunden werden und hey, natürlich genau dann, wenn der Support für das Programm langsam aber sicher eingestellt wird! :)

Ich erinnere mich noch an meine Server gesuche... bitte ein System OHNE Confixx. Und der AUfschrei war groß, wie kann man nur OHNE dieses wundervolle Programm?

Hmm, ich musste dann tatsächlich einen MIT vorinstalliertem Confixx nehmen, habs aber direkt deinstalliert.

Und jetzt? Ich habe keine Probleme, kann mich zurücklehnen und schauen wie die Provider nun rotieren um alle Kisten upzudaten :))

[gill]

Als ich das heute gelesen hatte

Das ist schon seit letzter Woche bekannt.

wenn der Support für das Programm langsam aber sicher eingestellt wird!

Sagt wer?

[IchKANNhochdeutsch]

Ich habs erst heute gelesen, na und? Juckt mich auch wenig...

Und zu deiner Frage:

1&1 weist daraufhin, dass Confixx vom Hersteller SWSoft und von 1&1 nicht mehr voll unterstützt wird.

Quelle: http://www.heise.de/newsticker/meldung/93627

[Optimate-Server]

natürlich genau dann, wenn der Support für das Programm langsam aber sicher eingestellt wird! :)

Genau deshalb hat SwSoft sofort einen Patch bereit gestellt?

[A-N]

Den Artikel von heise.de kannst du in die Tonne tretten. Nur weil der Anbieter 1&1 das Produkt nicht mehr offiziel anbietet, heißt es nicht das die von SWSoft nicht mehr unterstützt wird.

Und das du auf einem Dedizierten Server kein Control Panel hast, wird den wenigen hier interessieren. Wozu sollte man auch sowas brauchen, wenn der Server nur alleine genutzt wird? Allerdings benötigt ein Webhoster unbedingt soeine Oberfläche.

Und egal ob du Confixx, Plesk, Cpanel etc ... benutzt, die haben alle Ihre Lücken. Genauso wie viele andere Software auch.

Der einzige Vorteil an Confixx ist einfach, das es nicht tiefgründig im System hängt. Daher mag ich es auch, und präferiere es vor Plesk.

[mbanse]

Hi,

wie steht es eigentlich zu der Sicherheitslücke, dass das Passwort des aktuell eingeloggten User im Klartext in der Datenbank steht?



greetz

[Optimate-Server]

Hi,

wie steht es eigentlich zu der Sicherheitslücke, dass das Passwort des aktuell eingeloggten User im Klartext in der Datenbank steht?



greetz

Ist das nicht egal? Wer hat schon Zugriff zur Datenbank?
Und wenn es einem gelänge auf die Datenbank zuzugreifen und alle Daten zu sehen, dann ist es ihm wohl ein leichtes die Userpasswörter zu ändern und sich damit einzuloggen...

[mbanse]

Hi,

wenn man diese Einstellung verfolgen würde, wäre es ja egal die Passwörter überhaupt zu verschlüsseln... .

Also hätten MD5, Crypt alle keinen Sinn - denn wer hat denn schon Zugriff auf eine Datenbank, abgesehen der Eigentümer?

Dann erkläre ich dir folgendes Szenario:
Ein User loggt sich ein, ich schaue direkt nach welches PW er hat.
Viele User haben das geiche Passwort für alle seine Accounts im Internet,
ob es nun einfachheit oder dummheit ist ist eine andere Sache, jedoch ist es eine Tatsache.

Ich logge mich mit seiner E-Mailadresse (diese ist mir schließlich bekannt) in seinem
PayPal Account ein und überweise mir Geld.

Oder ich Logge mich in seinen E-Mailaccount ein, lasse mir von eBay sein Benutzernamen und
ein neues Passwort übermitteln und gehe auf Shoppingtour... .
Eventuell finde ich noch Kreditkartendaten... .

Ist dir klar was ich damit sagen will?
Es muss nicht sein, dass ich der Böse Mensch bin der dieses macht.

Es kann jedoch immer mal noch eine andere Sicherheitslücke auftreten, sodass die Confixx DB offen liegt (gab sogar glaube eine Lücke die - durch Confixx - jemanden Rootzugriff auf alle MySQL DBs gegeben hat) und was dann evtl. mit den Daten passiert brauchst du nur oben nachlesen.



greetz