Weitere Lücken in Dritt-Code, heute sogar in einer sehr weitverbreiteten Extension: In der Benutzerselbstregistrierung sr_feuser_register wurde ein Remote Code Execution Problem (sowie Cross Site Scripting, XSS) gefunden und behoben. Das Security Bulletin TYPO3-20080515-1 stuft dies zu Recht als schwerwiegend ein.
Gleichartige Probleme (und damit ebenfalls in der Kategorie “schwerwiegend”) wurden in einem weiteren Security Bulletin (TYPO3-20080515-2) auch für die “air_filemanager” Extension gemeldet.
Da Remote Code Execution bei Hackern sehr beliebt (weil leicht auszunutzen) ist, scheint mir das verstärkte Auftreten solcher Fehler Grund zur Sorge zu sein… Vielleicht macht es Sinn, Entwickler hier zu unterstützen und dieses Thema gezielt in den Coding Guidelines zu erläutern. (Oder an dieser Stelle anhand eines Beipiels wenigstens mal zu erklären.)
Hallo,
Beispiele wären auf alle Fälle sehr ratsam. also folgende usecases
- was bei erwarteten ints
- was bei strings
- was bei textareas
- was bei FE-htmlareas
welche Funktionen vor dem Speichern, welche nach dem Speichern, damit auch alles so aussieht wie es soll.
Gerne weiteres Brainstorming
Ja, sowas meinte ich. Werden wir mal angehen, ich maile Dich dann an, ok? Danke!