---

Goddag web-design-interesserede

Jeg har gennem den seneste tid udviklet et portal/CMS-system med lidt samme
"look" som php/postNuke-systemerne. Det er dog ikke ment som en konkurrent
til disse, da der er mange ting som er basalt for disse systemer, men mit
ikke understøtter. Til gengæld kræver mit system ikke mySQL, så mulighederne
for hvor det kan hostes.
Jeg vil ikke spilde plads her på at fortælle det hele om det, blot bede Jer
kigge på mit hjemmeside, hvis I synes det lyder interessant!

Det skal dog nævnes at det er en tidligt version, så bær over med fejl og
mangler. Send mig dog gerne enhver kommentar, negativ eller positiv...

Adressen er www.gingerware.org

Med Venlig Hilsen
Morten Poulsen
litenuke@gingerware.org

---

Morten Poulsen wrote:
> Goddag web-design-interesserede
> Jeg har gennem den seneste tid udviklet et portal/CMS-system med lidt
> samme "look" som php/postNuke-systemerne. Det er dog ikke ment som en

Bortset fra, at det var et tilsyneladende ligegyldigt reklame-indlæg i
samtlige af de mange grupper du har krydspostet i, hvad ville du så med
dit indlæg?

Hvis du søger ris eller ros, ville d.e.i.w.r+r nok have været en god
gruppe at få med i X-postingen. Du kan også godt få en smule ris
allerede her; dit system virker meget ufærdigt, langsomt og er pr.
default temmelig grimt (IMHO).

FUT: dk.edb.internet.webdesign.ris+ros

--
Med venlig hilsen
Kim Jensen
_____________________________________________________
newscaster.dk - nyheder i din TaskBar eller via email

---

On Sun, 30 Jun 2002 23:57:38 +0200, "Morten Poulsen"
<maillist@poulsen.org> wrote:

>Jeg har gennem den seneste tid udviklet et portal/CMS-system med lidt samme
>"look" som php/postNuke-systemerne.

(følgende erfaringer er på baggrund ca. 3 minutters test, jeg kan
meget vel have overset noget)

Det minder i hvert fald godt om php/postNuke på ét område: der er
graverende sikkerhedshuller i det, der servicerer enhver fil uden
videre fra systemet - også filer udenfor webscope (fx /etc/passwd for
nu at ta' en klassiker), fx en anden brugers PHP-Nuke-configfil.

Ydermere er den .ini-fil, admin-password'et står i, inden for
webscope, og lige til at downloade.

Før sikkerhedsmodellen er omdefineret kan jeg kun advare folk -
udelukkende af sikkerhedsårsager - imod at installere systemet i et
driftsmiljø.

(fut: dk.edb.internet.webdesign.serverside.php)

--
- Peter Brodersen

---

Begge sikkerheds problemer er rettet i en ny version, som bliver releaset i
aften! Der er sikkert andre problemer, men tak for at have gjort mig
opmærksom på disse! Jeg er ikke sikkerhedsekspert, og man må jo lære det på
en eller anden måde... Jeg indrømmer dog at disse problemer var ret
elementære...

Med Venlig Hilsen
Morten Poulsen
litenuke@gingerware.org

"Peter Brodersen" <usenet@ter.dk> wrote in message
news:afond4$9cu$1@dknews.tiscali.dk...
> On Sun, 30 Jun 2002 23:57:38 +0200, "Morten Poulsen"
> <maillist@poulsen.org> wrote:
>
> >Jeg har gennem den seneste tid udviklet et portal/CMS-system med lidt
samme
> >"look" som php/postNuke-systemerne.
>
> (følgende erfaringer er på baggrund ca. 3 minutters test, jeg kan
> meget vel have overset noget)
>
> Det minder i hvert fald godt om php/postNuke på ét område: der er
> graverende sikkerhedshuller i det, der servicerer enhver fil uden
> videre fra systemet - også filer udenfor webscope (fx /etc/passwd for
> nu at ta' en klassiker), fx en anden brugers PHP-Nuke-configfil.
>
> Ydermere er den .ini-fil, admin-password'et står i, inden for
> webscope, og lige til at downloade.
>
> Før sikkerhedsmodellen er omdefineret kan jeg kun advare folk -
> udelukkende af sikkerhedsårsager - imod at installere systemet i et
> driftsmiljø.
>
> (fut: dk.edb.internet.webdesign.serverside.php)
>
> --
> - Peter Brodersen

---

> Begge sikkerheds problemer er rettet i en ny version, som bliver releaset i
> aften! Der er sikkert andre problemer, men tak for at have gjort mig
> opmærksom på disse! Jeg er ikke sikkerhedsekspert, og man må jo lære det på
> en eller anden måde... Jeg indrømmer dog at disse problemer var ret
> elementære...
Jeg synes dog at det er imponerende at du kunne huske SÅ langt et
administratorpassword - det bliver ikke brute forcet med det samme ;) Men man kunne
jo også bare kigge i config.ini...
Prøv at se på md5-funktionen i PHP, den kan du bruge til at kryptere passwords med.
http://dk.php.net/md5

--
Mvh, Kristian Risager Larsen - http://kezze.dk - mailto:kezze@kezze.dk
"Der er 10 slags mennesker. Dem der kan binære tal og dem der ikke kan."

---

Hmmm, nu er de lange password som du bemærkede sådan set md5-krypteret
Desuden tror jeg ikke du kan kigge i config.ini filen mere... Der er sikker
mange andre "huller" men jeg arbejder på det...

Hilsen Morten

PS. Undskyld, Kristian, at jeg også kom til at svare dig pr. email, det var
ikke meningen!

"Kristian Risager Larsen" <kezze@kezze.dk> wrote in message
news:afq4be$5pu$1@news.net.uni-c.dk...
> > Begge sikkerheds problemer er rettet i en ny version, som bliver
releaset i
> > aften! Der er sikkert andre problemer, men tak for at have gjort mig
> > opmærksom på disse! Jeg er ikke sikkerhedsekspert, og man må jo lære det
på
> > en eller anden måde... Jeg indrømmer dog at disse problemer var ret
> > elementære...
> Jeg synes dog at det er imponerende at du kunne huske SÅ langt et
> administratorpassword - det bliver ikke brute forcet med det samme ;) Men
man kunne
> jo også bare kigge i config.ini...
> Prøv at se på md5-funktionen i PHP, den kan du bruge til at kryptere
passwords med.
> http://dk.php.net/md5
>
> --
> Mvh, Kristian Risager Larsen - http://kezze.dk - mailto:kezze@kezze.dk
> "Der er 10 slags mennesker. Dem der kan binære tal og dem der ikke kan."
>

---

Hej Peter, tillad mig lige at kommentere.... Der har gennem PHPNuke's
historie været adskillige sikkerhedsbrister. Disse eksisterer, så vidt jeg
ved, fortsat i vid udstrækning. I PostNuke er der derimod ikke de samme
sikkerhedsbrister og systemet _er_ sikkert! Jeg vil aldrig bruge PHPNuke til
andet end sjov på en lukket server i et lukket rum uden elektricitet og uden
internetforbindelse. PostNuke er derimod helt fint til brug i krævende
miljøer.

Lars, PostNuke.dk (og PHPNuke.dk)


"Peter Brodersen" <usenet@ter.dk> wrote in message
news:afond4$9cu$1@dknews.tiscali.dk...
> On Sun, 30 Jun 2002 23:57:38 +0200, "Morten Poulsen"
> <maillist@poulsen.org> wrote:
>
> >Jeg har gennem den seneste tid udviklet et portal/CMS-system med lidt
samme
> >"look" som php/postNuke-systemerne.
>
> (følgende erfaringer er på baggrund ca. 3 minutters test, jeg kan
> meget vel have overset noget)
>
> Det minder i hvert fald godt om php/postNuke på ét område: der er
> graverende sikkerhedshuller i det, der servicerer enhver fil uden
> videre fra systemet - også filer udenfor webscope (fx /etc/passwd for
> nu at ta' en klassiker), fx en anden brugers PHP-Nuke-configfil.
>
> Ydermere er den .ini-fil, admin-password'et står i, inden for
> webscope, og lige til at downloade.
>
> Før sikkerhedsmodellen er omdefineret kan jeg kun advare folk -
> udelukkende af sikkerhedsårsager - imod at installere systemet i et
> driftsmiljø.
>
> (fut: dk.edb.internet.webdesign.serverside.php)
>
> --
> - Peter Brodersen

---

On Sat, 6 Jul 2002 15:46:51 +0200, "LarsE" <lae@nospam.dk> wrote:

>I PostNuke er der derimod ikke de samme
>sikkerhedsbrister og systemet _er_ sikkert!

Dvs. du vil gerne tage imod et erstatningskrav, hvis jeg en eller
anden gang i fremtiden skulle opleve et hul i det sikre system?

At påstå at et system er sikkert, er ganske hovmodigt.

--
- Peter Brodersen

---

Åh Peter, Jeg antog at du kunne se bort fra de almindelige
ansvarsfraskrivelser. Men alligevel vil jeg sige, at sikkerhedsrutinerne
omkring postnuke og opbygningen af sikkerhedssystemet samt anvendelsen af
sessions antageligt gør det rimeligt sikkert.... og mere sikkert andre
løsninger jeg kender til. Men nej, ingen ganranti.... jeg lover heller ikke
at solen er på sin plads i morgen... :) Og nej, jeg tager heller ingen
erstatningskrav. Jeg kan ikke engang se hvorfor jeg skulle på baggrund af en
udtalelse? Systemet er open source og følger de almindelige betingelser i
gpl.... frit og for egen regning... Men du kender vel også den gamle traver
om de mange øjne der ser osv.

Altså Peter, nogen gang vil du bare diskutere :)

/Lars, PostNuke.dk



"Peter Brodersen" <usenet@ter.dk> wrote in message
news:ag74di$2k6$1@dknews.tiscali.dk...
> On Sat, 6 Jul 2002 15:46:51 +0200, "LarsE" <lae@nospam.dk> wrote:
>
> >I PostNuke er der derimod ikke de samme
> >sikkerhedsbrister og systemet _er_ sikkert!
>
> Dvs. du vil gerne tage imod et erstatningskrav, hvis jeg en eller
> anden gang i fremtiden skulle opleve et hul i det sikre system?
>
> At påstå at et system er sikkert, er ganske hovmodigt.
>
> --
> - Peter Brodersen