Auf der Black Hat-Konferenz, welche in Las Vegas stattfand, hat die Firma ihre Software vorgestellt und spontan 1.084.152 Webanwendungen gescannt. Interessant ist natürlich auf der einen Seite, dass man sehen kann, ob die eigene Website verwundbar bzw. leicht angreifbar ist. Auf der anderen Seite können “böse Hacker” (besser gesagt Script-Kiddies) auf diese Art und Weise systematisch herausfinden, welche Internetpräsenz sie als nächstes lahmlegen könnten. Nach meinen Informationen muss man die Lücke an sich aber noch selber finden bzw. kennen; die Software prüft lediglich ob für die verwendete Version der jeweiligen Software Sicherheitslücken bekannt sind.
Sehr erschreckend ist vor allem die “negative Hitliste”, die die Analyse der Websites ausspuckte.

1. phpBB – 100% der untersuchten Installationen zeigen kritische Schwachstellen
2. Mediawiki – 95% der untersuchten Installationen zeigen kritische Schwachstellen
3. Joomla! – 92% der untersuchten Installationen zeigen kritische Schwachstellen
4. Movable Type – 91% der untersuchten Installationen zeigen kritische Schwachstellen
5. phpMyAdmin – 85% der untersuchten Installationen zeigen kritische Schwachstellen
6. Moodle – 74% der untersuchten Installationen zeigen kritische Schwachstellen
7. Drupal – 70% der untersuchten Installationen zeigen kritische Schwachstellen
8. SPIP – 65% der untersuchten Installationen zeigen kritische Schwachstellen
9. WordPress – 4% (in Worten “vier”!) der untersuchten Installationen zeigen kritische Schwachstellen

Die Tatsache, dass WordPress sehr gut abschnitt (zumindest relativ gesehen), ist laut offiziellen Angaben auf die simple Updatefähigkeit der bekannten und bewährten Blog-Software zurückzuführen. Aber auch ältere Versionen von WordPress sind verhältnismäßig schwer verwundbar. Dennoch sollte man seine Foren-Softwares, Content Management Systems, Blog-Softwares und sonstige Webapplikationen so aktuell wie möglich halten!

Quelle: netzgeist.org

Heute wollte ich euch mal eine interessante Websoftware namens “cFTP” (clients-oriented-ftp) vorstellen.

cFTP allows you to create clients accounts with a very easy to use front end. Then you can upload as much files as you want under each account, with the ability to add a title and description to each one.[...]

Ich habe das Tool mal angetestet. Viel Spaß beim Lesen!

cFTP erlaubt es uns, Benutzer zu erstellen, die über ein einfaches Frontend Dateien (mit Titel und Beschreibung) uploaden und diese dann der ganzen Welt zur Verfügung stellen können. Das klingt ja erstmal gar nicht so schlecht. Die Vorteile oder auch Features von cFTP werden uns auf der Entwicklerseite genannt.

Some of the features of cFTP:

• Really simple and attractive design. Ease of use for both users and clients!
• Comes with an installer, much like the WordPress one.
• User roles (Administrator. Account Manager, Uploader)
• Sortable full lists of files, users and clients
• Options for localization (you can select your timezone and date format). This is refllected inmediatly on every list.
• On the listings, picture files not only have the mandatory download link, but also a thumbnail for easy recognition.
• Options and logo selection pages. Your company logo is seen on the clients lists.
• Can be translated easily (all texts strings are located on a specific file)

Das benutzerbasierte Uploadscript besitzt also ein “simple and attractive” Design, kann Thumbnails bei Bilderuploads erstellen und leicht in alle Sprachen übersetzt werden etc. Ferner sollte man noch erwähnen, dass dieses Script Ajax verwendet und benötigt. Aufgrund all dieser Funktionen haben wir cFTP mal installiert und geschaut was es so alles hergibt:

Installation: Die Installation ist vollkommen unproblematisch. In der beiliegenden readme.txt sind alle notwendigen Installationsschritte aufgeführt, und wenn man sich daran hält, kann eigentlich nichts schief gehen!

Design und Aufbau: Das Design ist – wie es schon in der Beschreibung steht – schlicht und übersichtlich und meiner Meinung nach auch sehr schön. Der Aufbau ist weder überladen, noch findet man sich schwer zurecht. Nachdem man einen “Client” angelegt hat, kann das Uploaden auch schon beginnen. Manchmal wird man auch von kleinen (durch Ajax generierte) Fenstern beglückt.

Der Code: Ich habe nur mal schnell in den Code geguckt – Code und Style werden offenbar nicht strikt getrennt. Außerdem wird auf Obektorientierte Programmierung beinahe komplett verzichtet. Die einzige Ausnahme scheint das Datenbankobjekt zu sein.

Anwendung: Über den Standardbenutzer (admin) kann man nun entweder einen “Client” (Uploadberechtigung) oder einen “User” (entweder Admin, Account Manger oder Uploaderberechtigung) erstellen. Man stellt fest, dass man einem Client mehr Zusatzinformationen geben kann, als einem User. Nachdem man einen Account hat, der uploadfähig ist, kann direkt der erste Testupload durchgeführt werden. Datei auswählen, Titel und Beschreibung eingeben – und hochladen! Fertig. Danach wird man zu einer Liste mit allen hochgeladenen Dateien des Benutzers weitergeleitet. Unter anderem bekommt man dort Thumbnails für Bilder und die restlichen Zusatzinformationen angezeigt.

Fazit: cFTP ist ein sehr interessantes Script und für bestimmte Anwendungsbereiche (z.B. wenn man den Zugriff von Uploadern beschränken möchte) mit Sicherheit hilfreich. Nachteile sind sicherlich, dass so genannte Multiuploads nicht unterstützt werden und ich keine Begrenzung des Uploadlimits finden konnte. Dies ließe sich notfalls (wenn auch unschön) per php.ini regeln. Dennoch sollte man cFTP auf jeden Fall mal ausprobiert haben!

Screenshots gibt es übrigens hier.

Die 2.8GB enthalten:

• die URL jedes suchbaren Facebook Benutzerprofils
• den Namen jedes suchbaren Facebook-Nutzers (unique und nummeriert, perfect  zur Datenaufbereitung)
• verarbeitete Listen, darunter Vorname mit count, Nachname mit count, potentielle Nutzernamen mit count… (leider weiß ich nicht genau, was “count” im Facebook-Universum bedeutet. Dazu müsste ich mir die Daten erst einmal ansehen. Zum Beispiel mit R. Ich vermute aber, dass es die Anzahl der Freunde bezeichnet.)
• das Script zum Crawlen

Falls ihr helfen wollt(verstößt gegen die robots.txt von Facebook…) oder Interesse an dem Torrent habt -> http://www.linus-neumann.de/2010/07/27/ein-torrent-mit-facebook-daten/ .

Ich bin heute extrem weit gekommen und das Frontend ist so gut wie fertig! Es fehlen noch ein UserCP (eigene Seiten verwalten) und eine SearchEngine. Vielleicht noch ein paar andere Kleinigkeiten in Form von Sicherheitupdates. Bevor ich das Backend programmiere werde ich fleißige Alpha- / Beta-Tester suchen, die das momentane System auf Stabilität prüfen würden. Außerdem werde ich morgen wichtige Informationen zum POOTMS hinzufügen (Features).

Ein kleiner Trost dafür, dass das POOTMS immer noch nicht fertig ist, ist vielleicht dieser Screenshot vom UserCP:

bestimmt habt ihr schon gedacht, dass das Projekt POOTMS (ja – ist ein lustiger Name, dafür aber einzigartig!) bereits wieder eingefroren sei. Aber es war wider erwarten doch ein bisschen schwieriger, die ganze Libraries zu programmieren, vor allem weil ich mich dann mitten während der Projektprogrammierung doch noch für ein Gruppensystem entschieden hatte…

Mit einer Alpha oder einer Beta kann ich euch leider immer noch nicht beglücken.
Nächstes Wochenende.
Vielleicht.

Allerdings kann ich euch einen Screenshot bieten. Das schöne Design habe ich aus einer Open Source-Quelle und kann es somit für das Projekt verwenden. Vielen Dank auch an FamFamFam für die wundervollen Icons!

pootms_snapshot

Bis zum nächsten Update!

Marvin

Eigentlich recht einfach:
Heddesheimer-Blog: Mehrplatzfähige MySQL-Anwendungen in PHP testen

Während der sleep()-Phase einfach das gleiche Script nochmal im Browser (oder in der Shell) aufrufen. So einfach ist das Simulieren mehrerer Besucher.

Liebe Grüße,
Marvin

Außerdem arbeitet PHP häufig mit Datenbanksystemen zusammen, um Daten dauerhaft speichern zu können (PHP kann sich Daten nur während der Laufzeit merken, nachdem das Script zu Ende ist, werden sie wieder verworfen). Das wohl bekannteste Datenbanksystem ist MySQL, aufgekauft von SUN.

Ein simples PHP Beispiel:

<?php

// Öffnender PHP Tag
// Ausgabe
echo "Hallo";
// PHP Tag schließen

?>

→ de.php.net
→ mysql.de