Kommentare zu: Warnung vor chCounter – Sicherheitslücke

Von: Jürgen

Jürgen — Thu, 28 Oct 2010 07:56:15 +0000

Bin eben via Google hier gelandet….

Das (expCounter) ist der Nachfolger von chCounter, baut drauf auf und wird aktuell weiterentwickelt!

http://www.expblog.net/expcounter/

(siehe unten auf der Seite im About)

LG
Juergen (hausl)

Von: Franzi

Franzi — Thu, 15 Oct 2009 07:39:49 +0000

LOL Escape ist das heut zu tage nicht schon zu einfachen für frames? die werden dadruch auch nicht verhindert leute ^^

Von: mark

mark — Fri, 17 Apr 2009 19:04:04 +0000

@carabon: Du meinst bestimmt phpMyVisits. Dessen Nachfolger ist das bereits erwähnte Piwik.

Von: ralf_donald

ralf_donald — Fri, 17 Apr 2009 15:57:18 +0000

Hab ich gleich mal behoben.
Danke, auch an Dirk.

Von: Carabon

Carabon — Fri, 17 Apr 2009 08:45:29 +0000

es gibt auch noch phpMyVisitors, kann man sich ja anpassen wie man will. Läuft auf dem eigen Server und gibt daher keine Daten weiter, wie es Analytics tut.

Von: caschy

caschy — Fri, 17 Apr 2009 08:34:23 +0000

@Tim:

Mint sieht toll aus, kostet aber.

Von: Tim

Tim — Fri, 17 Apr 2009 08:33:43 +0000

@Roman: Ich suche aber mehr nach einer reinen Counterlösung. Möchte gerne die Möglichkeit haben, die Besucherzahlen ausgeben zu können. Und Google Analytics kommt bei mir nicht drauf. Ich teste nebenbei noch piwik und mint. Aber die find ich schon fast zu überladen. Der chCounter war da leider genau rchtig.

Von: Roman

Roman — Fri, 17 Apr 2009 07:45:02 +0000

@Tim Vergleichbare Counterlösungen gibt es wie Sand am Meer. Analytics, AwStats sind nur zwei, die es locker mit dem ChCounter aufnehmen können.

Wenn schon beim Login so schwere XSS-Fehler auftreten, würde ich von einer weiteren Verwendung der Software sofort absehen.

Von: paterbrown

paterbrown — Fri, 17 Apr 2009 06:35:41 +0000

Hatte auch mal den chCounter im Einsatz. Bin aber inzwischen zu Piwik gewechselt. Auf jeden Fall eine sehr gute Alternative wie ich finde und aktiv in Entwicklung…

Von: Bernd

Bernd — Fri, 17 Apr 2009 06:05:06 +0000

Danke für den Hinweis! Schade, dass es keine ordentliche aktuelle kostenlose Alternative zu chCounter gibt

Von: MajorShadow

MajorShadow — Thu, 16 Apr 2009 20:59:25 +0000

Irgendwie wird mir schlecht bei sowas
Vorallem wenn der Entwickler dann noch treffend als “Bastler” bezeichnet wird.

Wenn die Gerüchte über IBM und Sun stimmen und somit die evtl. schweren Konsequenzen für MySQL, dann wäre ich ja dafür, dass sich IBM noch irgendwie PHP unter den Nagel reißt
(wer die Ironie und Logik findet, darf sie behalten)

Von: Tim

Tim — Thu, 16 Apr 2009 20:14:49 +0000

@Julius: Das Problem beim chCounter ist ja, der eigentliche Entwickler ist schon lange raus. Und auch der Typ, der solche Sachen fixen wollte ist auch vom Erdboden verschluckt.

Von: Julius

Julius — Thu, 16 Apr 2009 19:46:49 +0000

@Tim bzgl. ‘was sonst noch für Lücken’: wahrscheinlich erstmal überall dort, wo daten von aussen mit der DB in berührung kommen, sprich: wenn schon dann besser gleich alle queries escapen (z.B. sprintf + mysql_real_escape_string). aber darum sollte sich eigentlich der bastler dieser software kümmern.
(nur nebenbei: global für die DB-con find ich jetzt auch etwas komisch – singleton anyone? …ich les in den code jetzt besser nicht rein)

Von: Marcus

Marcus — Thu, 16 Apr 2009 19:45:53 +0000

Vielen Dank für den Hinweis! Hab das Problem direkt mal behoben. Gute Anleitung Caschy

Von: -tmh-

-tmh- — Thu, 16 Apr 2009 19:44:32 +0000

Echt schön von dir beschrieben worden, sollte jeder fixxen können

Von: b-age

b-age — Thu, 16 Apr 2009 19:24:20 +0000

oha, ist ja krass.
danke für den hinweis, gleich behoben.

Von: Julius

Julius — Thu, 16 Apr 2009 19:21:02 +0000

na immerhin wurde mein kommentar hier als spam erkannt (was evtl. gar nicht so falsch ist)

Von: Julius

Julius — Thu, 16 Apr 2009 19:18:47 +0000

Versteh ich da was falsch oder warum muß ein login für einen lokalen Counter überhaupt nach außen offen sein? Btw: wenn schon mysql_(real)_escape_string (so nachm motto: besser das gegen sql-inj als garnix), warum dann nur auf $name und nicht auch gleich auf $pw?
Naja, mir isses gleich.

Von: Tim

Tim — Thu, 16 Apr 2009 19:13:47 +0000

Echt hammer. Wer weiß, was da noch für Lücken drin stecken. Aber eine vergleichbare Counterlösung gibt es leider nicht.
Vielen Dank für die schnelle Lösung!