Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Klatsch und Tratsch (https://www.delphipraxis.net/34-klatsch-und-tratsch/)
-   -   Delphi madExcept bugreports öffentlich im Internet einsehbar (https://www.delphipraxis.net/148316-madexcept-bugreports-oeffentlich-im-internet-einsehbar.html)

mjustin 27. Feb 2010 14:07
madExcept bugreports öffentlich im Internet einsehbar
 
Hallo,

zufällig bin ich im Internet auf eine grosse Zahl von madExcept bugreport.txt Dateien gestossen, die eine Firma wohl in einem sicheren Verzeichnis auf dem Webserver zu haben glaubt.

http://www.domäne.de/support/ * secure * /attachment/nnn/bugreport.txt

Daneben sind diese Bugreports auch offen in einem JIRA issue tracker zu sehen. Die bug reports enthalten Angaben, die theoretisch missbraucht werden können (zum Beispiel Typ und Version des Virenscanners). Wenn ich Zeit habe schreibe ich nachher mal an die Firma. Wie würdet Ihr das als Softwarehaus handhaben, sollte man Kundenbugreports nicht grundsätzlich nur dann im Internet - zum Beispiel in einem öffentlich sichtbaren Forum oder Issuetracker - belassen, wenn sensible Daten daraus gelöscht werden?

mjustin 27. Feb 2010 20:05
Re: madExcept bugreports öffentlich im Internet einsehbar
 
Die Sicherheitslücke wurde nach meiner Mail an den Webmaster nun geschlossen.

Luckie 27. Feb 2010 20:08
Re: madExcept bugreports öffentlich im Internet einsehbar
 
Haben die sich denn wem falls irgendwie bedankt oder gar erkenntlich gezeigt?

DP-Maintenance 27. Feb 2010 20:08
DP-Maintenance
 
Dieses Thema wurde von "Luckie" von "Sonstige Fragen zu Delphi" nach "Klatsch und Tratsch" verschoben.
Was hat das mit Delphi zu tun?

mjustin 27. Feb 2010 20:21
Re: madExcept bugreports öffentlich im Internet einsehbar
 
Zitat:
Zitat von Luckie
Haben die sich denn wem falls irgendwie bedankt oder gar erkenntlich gezeigt?
Ja, bedankt hat sich der Autor (einer deutschen Softwarefirma):

... "Mir ist das Thema bewusst gewesen, ich
habe aber nun bereits die 3 Anfrage diese Woche hierzu bekommen, so dass ich
hier die Transparenz dem Datenschutz unterordnen werde. ...

Vielen Dank nochmals für Ihre Mühen(Email) und dem Hinweis! ...


Ich verstehe das so, dass die Bugreports bekannterweise frei abrufbar waren, um den Kunden 'transparent' Zugang zu den gemeldeten Abstürzen in JIRA zu ermöglichen. Nach den Hinweisen an den Author ist erst jetzt der Datenschutz höher gewertet worden.

Die JIRA-Einträge umfassen Daten aus mehr als einem Jahr - einschliesslich Screenshots der laufenden Anwendung, die Daten aus Aktiondepots darstellten.

Die Daten sind über Google's Cache natürlich jetzt immer noch aufrufbar :wall:


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:23 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz