Zitat von Lokutos
wie gehts dir denn?
wenn ich einen 17h Arbeitstag habe(von zuhause weg bis ich wieder daheim bin) und zu kaputt bin um im Forum zu stöbern dauerts manchmal 3-4 tage bis ich zeit habe für den bugfix...
wie gehts dir denn?
wenn ich einen 17h Arbeitstag habe(von zuhause weg bis ich wieder daheim bin) und zu kaputt bin um im Forum zu stöbern dauerts manchmal 3-4 tage bis ich zeit habe für den bugfix...
Wäre ja auch für
- Mit "Proof of Concept"
Und was mir persönlich noch viel wichtiger wäre, die Leute, die die Addons/scripte etc "verbrochen" haben, an den Pranger zu stellen, nur leider gibt's sowas heute ja (kaum) mehr, und im I-Net ist es schwierig mit dem Tomaten werfen etc.
Trotzdem sollte vor Leuten, die teure Scripte verkaufen und dann darin absichtlich oder unabsichtlich Fehler einbauen, ihre Scripte vor dem Verkauf nicht testen und / oder keinen Support dazu geben, gewarnt werden dürfen!
Sowas tritt leider immer häufiger auf, seien es jetzt nun solch schwerwiegende Fehler wie der im Refkauf Addon, oder auch weniger schlimme wie in den GPA Slots, beides ist nur nervig und rechtfertigt die Preise für solche Scripte auf keinen Fall.
Andererseits ist das mit der "Anleitung zum Ausnutzen" natürlich auch wieder nicht so toll, weil dann einige Webbis trotzdem nichts dagegen machen (siehe bei Klickfakern/Bettelfakern!)
Aber ich schätze DSN bzw. die User hier mal so ein, dass wenige dabei sind, die "mit krimineller Energie" Bugs ausnutzen, auf klamm.de/forum wäre das schon wieder was anderes.
Und da Codes ja nur angemeldete User sehen, denke ich, geht das in Ordnung.
(Wobei ich natürlich hoffe, dass du,ich, sonst wer keinerlei Bugs mehr finden werden, aber)
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
Ich wäre auch durchaus für mit Proof-of-Concept, allerdings nicht sofort.
Auf DSN ist es ja leider so, dass ziemlich wenig User jede Woche oder sogar noch länger mal reinschauen, aber genau dann denke ich auch, dass diejenigen nicht wirklich aktiv dabei sind.
Wenn man sich ein Script besorgt, sollte man sich zumindest 1x in 1-2 Wochen auf den neuesten Stand bringen und das Script nicht einmal herunterladen und sich dann freuen, dass man nun nichts mehr tun muss.
in 1-2 Wochen 5min aufbringen, um in News&Infos u.ä. zu sehen, dürfte nicht wirklich ein Problem darstellen, v.a. weil da auch fast nichts passiert.
Somit denke ich, dass ein Proof-of-Concept nach 1,5-2 Wochen durchaus gerechtfertigt ist (möglicherweise bringt das sogar mehr Aktivität, wenn mehrere User wieder vorbeischauen)
Die Idee von jpwfour mit dem Pranger halte ich aber eigentlich für noch besser. Vl. ein Thread in Blacklist oder ein neues Unterforum, in dem externe Bugs gepostet werden, mit einem gepinnten Thread wo die "Bugeinbauer und kein Supportgeber" allesamt aufgelistet werden.
Mfg
Sebmaster
Ich bin da auch eher für Variante A.
Die Zeit hat wirklich nicht jeder Webbi so super kurzfristig zu reagieren.
Die meisten haben ein reales Leben neben Ihren Seiten und dann ist das schon echt schwer.
Dann lieber nur bekannt geben was getan werden muß und ein paar Ansprechpartner finden die bereit sind nähere Auskünfte zu erteilen.
Sinnvoll wäre vielleicht auch die Überlegung einen Forenbereich zu schaffen in den nur Seitenbetreiber zutritt haben, dann könnte man über Fehler offener sprechen und sich gegenseitig eher helfen.
Gruß
Bengel
Also ein Unterforum wo nur Sicherheitslücken gepostet werden, werde ich mal einrichten, denn dann können die Seitenbetreiber dieses Unterforum abonnieren und erhalten bei einem neuen Thread eine E-Mail.
In dieses Unterforum sollten dann allerdings auch nur Threads bei denen es wirklich Sicherheitslücken gibt, am besten mit Bugfix.
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Find ich ne gute idee n bereich Bugfix
Regeln das nur wirklick Bug mit bugfix gepostet werden darf keine fragen etc
SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting
ich habe für B gestimmt, weil ich der Meinung bin, wenn man Sicherheitslücken finden will, muß man auch die Methoden der "Faker" kennen.
Jedoch: als 1. nur den Bugfix posten und erst nach einer gewissen Zeit Proof of concept, weil jeder mal Urlaub haben kann, krank ist o.anderweitig nicht dazu kommt. ein Minimum von 2 Wochen halte ich daher für angebracht.
Auch ok finde ich, wenn man öffentlich macht, welches addon und von welchem Programmierer.
mfg
dragon11
Das mit der Wartezeit wäre kein Problem wenn ich nun sage sobald der Bug 14 Tage veröffentlicht ist kommt Anleitung raus. Ich denke mal wer eine Seite hat sollte alle 14 Tage spätestens mal reinschauen können, denn es fällt ja auch täglich was an z.B. Support wofür man ja auch Zeit einplanen kann.
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Ich habe für sonstiges gestimmt, eben eine Mischung aus beidem - bin auch für die Methode mit der Wartezeit.
Dazu dann ein Newlsetter mit Priorität Hoch beim Veröffentlichen des BugFix und dann noch einen kurz vor dem Proof of concept.
Ist ja im Interesse aller Webbis die das VMS und / oder entsprechende Addons dafür nutzen.
Naja also den Bereich Sicherheitslücken kann man abonnieren, da ist sogar ein Hinweis drüber mit direktlink zum abonnieren, Newsletter würde ich dort dann keine mehr versenden, das stört auch auf dauer.Dazu dann ein Newlsetter mit Priorität Hoch beim Veröffentlichen des BugFix und dann noch einen kurz vor dem Proof of concept.
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Berechtigungen
Zitieren
