Da ich im moment gezielt auf der Suche nach neuen Bugs bin, wollte ich mal fragen wie wir da am besten verfahren sollten wenn wir einen finden?

- Nur Bugfix posten
Können die Betreiber einspielen, aber ob sie es tun werden ist die andere Frage.

- Mit "Proof of Concept"
Dieses Prinzip wird auf vielen Seiten angewendet, denn so sind die Betreiber zu einem schnellen Handeln verpflichtet da die große Masse eine Anleitung zum faken hat. Nachteil ist halt das einige dies auch vllt. zum faken nutzen werden.

- Andere Vorschläge
Wer sonst einen Vorschlag hat bitte posten.

Die Progger / Verkäufer informieren damit diese ihren kunden ein update zukommen lassen

damit die faulen webbys mal aus ihren pforten kommen bin ich für variante 2

ich persönlich würde es so machen

bugfix posten
und nach 24h die Anleitung zum faken dazusetzen
da hat jeder webby genug zeit die bugs zu beheben/
seinen proger zu informieren.

somit biste fair gegenüber den webbis
und hilfst die klammwelt von seiten die 3 jahre lang nix machen und sich über fehlende aktivität wundern aus der welt zu schaffen.


MFG Lokutos

damit die faulen webbys mal aus ihren pforten kommen bin ich für variante 2

bugfix posten
und nach 24h die Anleitung zum faken dazusetzen
da hat jeder webby genug zeit die bugs zu beheben/
seinen proger zu informieren.

MFG Lokutos


wie gehts dir denn?
wenn ich einen 17h Arbeitstag habe(von zuhause weg bis ich wieder daheim bin) und zu kaputt bin um im Forum zu stöbern dauerts manchmal 3-4 tage bis ich zeit habe für den bugfix...

damit die faulen webbys mal aus ihren pforten kommen bin ich für variante 2

ich persönlich würde es so machen

bugfix posten
und nach 24h die Anleitung zum faken dazusetzen
da hat jeder webby genug zeit die bugs zu beheben/
seinen proger zu informieren.

somit biste fair gegenüber den webbis
und hilfst die klammwelt von seiten die 3 jahre lang nix machen und sich über fehlende aktivität wundern aus der welt zu schaffen.


MFG Lokutos

Schon klar und wenn ich mal im urlaub bin und vorher ordentlich die schnittstelle gefüllt habe dann bin ich schon mal 10 million ebesucher ärmer und habe eben pech gehabt oder was :der:

Es gibt sehr viele Webbis (auch von großen seiten) die hier auch nicht aktiv sind und die haben dann wohl pech gehabt...

Grundsätzlich bin ich gegen eine Anleitung wie man faken (was ja faktisch auch illegal ist) kann sonst können wir hier ja auch posten wie wir uns bomben bauen^^

Zumal sehe ich auch nicht ein warum immer die Webbys die faulen sein sollen und für die verbugten scripte verantwortlich sein sollen.
Verantwortlich für die Scripte sind doch nunmal die Programmierer und die sind auch für ein Bugfix verantwortlich.

Wäre ja auch für
- Mit "Proof of Concept"

Und was mir persönlich noch viel wichtiger wäre, die Leute, die die Addons/scripte etc "verbrochen" haben, an den Pranger zu stellen, nur leider gibt's sowas heute ja (kaum) mehr, und im I-Net ist es schwierig mit dem Tomaten werfen etc. :yes:

Trotzdem sollte vor Leuten, die teure Scripte verkaufen und dann darin absichtlich oder unabsichtlich Fehler einbauen, ihre Scripte vor dem Verkauf nicht testen und / oder keinen Support dazu geben, gewarnt werden dürfen!

Sowas tritt leider immer häufiger auf, seien es jetzt nun solch schwerwiegende Fehler wie der im Refkauf Addon, oder auch weniger schlimme wie in den GPA Slots, beides ist nur nervig und rechtfertigt die Preise für solche Scripte auf keinen Fall.

Andererseits ist das mit der "Anleitung zum Ausnutzen" natürlich auch wieder nicht so toll, weil dann einige Webbis trotzdem nichts dagegen machen (siehe bei Klickfakern/Bettelfakern!) :der:

Aber ich schätze DSN bzw. die User hier mal so ein, dass wenige dabei sind, die "mit krimineller Energie" Bugs ausnutzen, auf klamm.de/forum wäre das schon wieder was anderes.

Und da Codes ja nur angemeldete User sehen, denke ich, geht das in Ordnung.


(Wobei ich natürlich hoffe, dass du,ich, sonst wer keinerlei Bugs mehr finden werden, aber :rolleyes: )

Ich wäre auch durchaus für mit Proof-of-Concept, allerdings nicht sofort.

Auf DSN ist es ja leider so, dass ziemlich wenig User jede Woche oder sogar noch länger mal reinschauen, aber genau dann denke ich auch, dass diejenigen nicht wirklich aktiv dabei sind.

Wenn man sich ein Script besorgt, sollte man sich zumindest 1x in 1-2 Wochen auf den neuesten Stand bringen und das Script nicht einmal herunterladen und sich dann freuen, dass man nun nichts mehr tun muss.

in 1-2 Wochen 5min aufbringen, um in News&Infos u.ä. zu sehen, dürfte nicht wirklich ein Problem darstellen, v.a. weil da auch fast nichts passiert.

Somit denke ich, dass ein Proof-of-Concept nach 1,5-2 Wochen durchaus gerechtfertigt ist (möglicherweise bringt das sogar mehr Aktivität, wenn mehrere User wieder vorbeischauen:biggrin1:)

Die Idee von jpwfour mit dem Pranger halte ich aber eigentlich für noch besser. Vl. ein Thread in Blacklist oder ein neues Unterforum, in dem externe Bugs gepostet werden, mit einem gepinnten Thread wo die "Bugeinbauer und kein Supportgeber" allesamt aufgelistet werden.

Mfg
Sebmaster

Ich bin da auch eher für Variante A.
Die Zeit hat wirklich nicht jeder Webbi so super kurzfristig zu reagieren.
Die meisten haben ein reales Leben neben Ihren Seiten und dann ist das schon echt schwer.

Dann lieber nur bekannt geben was getan werden muß und ein paar Ansprechpartner finden die bereit sind nähere Auskünfte zu erteilen.

Sinnvoll wäre vielleicht auch die Überlegung einen Forenbereich zu schaffen in den nur Seitenbetreiber zutritt haben, dann könnte man über Fehler offener sprechen und sich gegenseitig eher helfen.

Gruß
Bengel

Also ein Unterforum wo nur Sicherheitslücken gepostet werden, werde ich mal einrichten, denn dann können die Seitenbetreiber dieses Unterforum abonnieren und erhalten bei einem neuen Thread eine E-Mail.

In dieses Unterforum sollten dann allerdings auch nur Threads bei denen es wirklich Sicherheitslücken gibt, am besten mit Bugfix.

Find ich ne gute idee n bereich Bugfix

Regeln das nur wirklick Bug mit bugfix gepostet werden darf keine fragen etc

In dieses Unterforum sollten dann allerdings auch nur Threads bei denen es wirklich Sicherheitslücken gibt, am besten mit Bugfix.

Am besten ein geschlossenes, man soll dann die Threads in Support zu Addons packen und wir Mods verschieben die Threads dann.

Kommt dann trotzdem noch ne Mail?:suspicious:

Habe eingestellt das Themen moderiert sind, also erst veröffentlicht nachdem durch Teammitglied gesichtet. Eine Mail sollte dann trotzdem noch kommen.

Habe eingestellt das Themen moderiert sind, also erst veröffentlicht nachdem durch Teammitglied gesichtet. Eine Mail sollte dann trotzdem noch kommen.

Okay sehr gut:thumb:

ich habe für B gestimmt, weil ich der Meinung bin, wenn man Sicherheitslücken finden will, muß man auch die Methoden der "Faker" kennen.
Jedoch: als 1. nur den Bugfix posten und erst nach einer gewissen Zeit Proof of concept, weil jeder mal Urlaub haben kann, krank ist o.anderweitig nicht dazu kommt. ein Minimum von 2 Wochen halte ich daher für angebracht.

Auch ok finde ich, wenn man öffentlich macht, welches addon und von welchem Programmierer.

Das mit der Wartezeit wäre kein Problem wenn ich nun sage sobald der Bug 14 Tage veröffentlicht ist kommt Anleitung raus. Ich denke mal wer eine Seite hat sollte alle 14 Tage spätestens mal reinschauen können, denn es fällt ja auch täglich was an z.B. Support wofür man ja auch Zeit einplanen kann.

Ich habe für sonstiges gestimmt, eben eine Mischung aus beidem - bin auch für die Methode mit der Wartezeit.

Dazu dann ein Newlsetter mit Priorität Hoch beim Veröffentlichen des BugFix und dann noch einen kurz vor dem Proof of concept.

Ist ja im Interesse aller Webbis die das VMS und / oder entsprechende Addons dafür nutzen.

Dazu dann ein Newlsetter mit Priorität Hoch beim Veröffentlichen des BugFix und dann noch einen kurz vor dem Proof of concept.Naja also den Bereich Sicherheitslücken kann man abonnieren, da ist sogar ein Hinweis drüber mit direktlink zum abonnieren, Newsletter würde ich dort dann keine mehr versenden, das stört auch auf dauer.

Ja stimmt auch wieder, dann ohne Newsletter.

Ein Kriterium für mich, warum man des Fehlers Ursache veröffentlichen sollte wäre, dass (nichts gegen deine Fähigeiten als BugFixer :biggrin1: ) andere Progger auch drüberschauen können und Verbesserungen am Bugfix vornehmen können bzw. andere und / oder mehr Ideen haben wie und was man dagegen tun könnte.

Japs, deshalb schreibe ich eigentlich auch immer dabei woran es liegt und an entsprechenden Code-Zeilen sieht man es ja auch. Klar ich bin auch nicht perfekt das weiß ich auch, in meinen Addons gibts vielleicht auch den ein oder anderen Fehler, aber ich überarbeite die im moment komplett und versuche das auch bei anderen. Aber 4 Augen sehen ja bekanntlich mehr als 2

�

Ich denke mir halt, dass, wenn der Bugfix rauskommt, findige Progger die es wissen wollen, sowiso darauf kommen, welche Lücke der dann schliesst.

Darum wäre es ja gerade sinnvoll, zuerst den BugFix rauszubringen und dann Zeitverzögert den Fehler im Detail zu zeigen um noch mögliche Schwachstellen etc. zu finden bzw. den BugFix zu verbessern.

Eine Möglichkeit wäre es, den Fehler im Detail zuerst einem ausgewählten Kreis vertrauenswürdiger Progger zu zeigen und ihn dann zu veröffentlichen - auch deshalb, weil es mich als Webmaster schon interessiert, welcher Fehler da jetzt geschlossen wird. Auch um dann evt. entsprechend auffälliges Verhalten einzelner User besser einschätzen zu können.

Ich gehe davon aus, dass gewissenhafte Webbis ihre Seite/n schnellstmöglich mit dem BugFix ausrüsten werden um den Fortbestand der eigenen Seite/n zu sichern, der bei (meiner Meinung nach) fahrlässiger Mißachtung des BugFixes, nicht mehr gewährleistet sein kann - je nach Fehler.