Wie bei Bugs verfahren?

[jpwfour]

Wäre ja auch für
- Mit "Proof of Concept"

Und was mir persönlich noch viel wichtiger wäre, die Leute, die die Addons/scripte etc "verbrochen" haben, an den Pranger zu stellen, nur leider gibt's sowas heute ja (kaum) mehr, und im I-Net ist es schwierig mit dem Tomaten werfen etc.

Trotzdem sollte vor Leuten, die teure Scripte verkaufen und dann darin absichtlich oder unabsichtlich Fehler einbauen, ihre Scripte vor dem Verkauf nicht testen und / oder keinen Support dazu geben, gewarnt werden dürfen!

Sowas tritt leider immer häufiger auf, seien es jetzt nun solch schwerwiegende Fehler wie der im Refkauf Addon, oder auch weniger schlimme wie in den GPA Slots, beides ist nur nervig und rechtfertigt die Preise für solche Scripte auf keinen Fall.

Andererseits ist das mit der "Anleitung zum Ausnutzen" natürlich auch wieder nicht so toll, weil dann einige Webbis trotzdem nichts dagegen machen (siehe bei Klickfakern/Bettelfakern!)

Aber ich schätze DSN bzw. die User hier mal so ein, dass wenige dabei sind, die "mit krimineller Energie" Bugs ausnutzen, auf klamm.de/forum wäre das schon wieder was anderes.

Und da Codes ja nur angemeldete User sehen, denke ich, geht das in Ordnung.


(Wobei ich natürlich hoffe, dass du,ich, sonst wer keinerlei Bugs mehr finden werden, aber )

[Sebmaster]

Ich wäre auch durchaus für mit Proof-of-Concept, allerdings nicht sofort.

Auf DSN ist es ja leider so, dass ziemlich wenig User jede Woche oder sogar noch länger mal reinschauen, aber genau dann denke ich auch, dass diejenigen nicht wirklich aktiv dabei sind.

Wenn man sich ein Script besorgt, sollte man sich zumindest 1x in 1-2 Wochen auf den neuesten Stand bringen und das Script nicht einmal herunterladen und sich dann freuen, dass man nun nichts mehr tun muss.

in 1-2 Wochen 5min aufbringen, um in News&Infos u.ä. zu sehen, dürfte nicht wirklich ein Problem darstellen, v.a. weil da auch fast nichts passiert.

Somit denke ich, dass ein Proof-of-Concept nach 1,5-2 Wochen durchaus gerechtfertigt ist (möglicherweise bringt das sogar mehr Aktivität, wenn mehrere User wieder vorbeischauen)

Die Idee von jpwfour mit dem Pranger halte ich aber eigentlich für noch besser. Vl. ein Thread in Blacklist oder ein neues Unterforum, in dem externe Bugs gepostet werden, mit einem gepinnten Thread wo die "Bugeinbauer und kein Supportgeber" allesamt aufgelistet werden.

Mfg
Sebmaster

[Bengel]

Ich bin da auch eher für Variante A.
Die Zeit hat wirklich nicht jeder Webbi so super kurzfristig zu reagieren.
Die meisten haben ein reales Leben neben Ihren Seiten und dann ist das schon echt schwer.

Dann lieber nur bekannt geben was getan werden muß und ein paar Ansprechpartner finden die bereit sind nähere Auskünfte zu erteilen.

Sinnvoll wäre vielleicht auch die Überlegung einen Forenbereich zu schaffen in den nur Seitenbetreiber zutritt haben, dann könnte man über Fehler offener sprechen und sich gegenseitig eher helfen.

Gruß
Bengel

[Gremlin]

Also ein Unterforum wo nur Sicherheitslücken gepostet werden, werde ich mal einrichten, denn dann können die Seitenbetreiber dieses Unterforum abonnieren und erhalten bei einem neuen Thread eine E-Mail.

In dieses Unterforum sollten dann allerdings auch nur Threads bei denen es wirklich Sicherheitslücken gibt, am besten mit Bugfix.

[Lokutos]

Find ich ne gute idee n bereich Bugfix

Regeln das nur wirklick Bug mit bugfix gepostet werden darf keine fragen etc

[dragon11]

ich habe für B gestimmt, weil ich der Meinung bin, wenn man Sicherheitslücken finden will, muß man auch die Methoden der "Faker" kennen.
Jedoch: als 1. nur den Bugfix posten und erst nach einer gewissen Zeit Proof of concept, weil jeder mal Urlaub haben kann, krank ist o.anderweitig nicht dazu kommt. ein Minimum von 2 Wochen halte ich daher für angebracht.

Auch ok finde ich, wenn man öffentlich macht, welches addon und von welchem Programmierer.

[Gremlin]

Das mit der Wartezeit wäre kein Problem wenn ich nun sage sobald der Bug 14 Tage veröffentlicht ist kommt Anleitung raus. Ich denke mal wer eine Seite hat sollte alle 14 Tage spätestens mal reinschauen können, denn es fällt ja auch täglich was an z.B. Support wofür man ja auch Zeit einplanen kann.

[Rallef]

Ich habe für sonstiges gestimmt, eben eine Mischung aus beidem - bin auch für die Methode mit der Wartezeit.

Dazu dann ein Newlsetter mit Priorität Hoch beim Veröffentlichen des BugFix und dann noch einen kurz vor dem Proof of concept.

Ist ja im Interesse aller Webbis die das VMS und / oder entsprechende Addons dafür nutzen.

[Gremlin]

Dazu dann ein Newlsetter mit Priorität Hoch beim Veröffentlichen des BugFix und dann noch einen kurz vor dem Proof of concept.

Naja also den Bereich Sicherheitslücken kann man abonnieren, da ist sogar ein Hinweis drüber mit direktlink zum abonnieren, Newsletter würde ich dort dann keine mehr versenden, das stört auch auf dauer.

[Rallef]

Ja stimmt auch wieder, dann ohne Newsletter.

Ein Kriterium für mich, warum man des Fehlers Ursache veröffentlichen sollte wäre, dass (nichts gegen deine Fähigeiten als BugFixer ) andere Progger auch drüberschauen können und Verbesserungen am Bugfix vornehmen können bzw. andere und / oder mehr Ideen haben wie und was man dagegen tun könnte.