[TYPO3-german] WM-Tippspiel-Bug in Extension WorldCup

[JoH]

>> Bug oder Sicherheitslücke - das beschriebene Problem beinhaltet etwas
>> von beidem, denn man kann durch den Fehler (ist das Wort hier
>> erlaubt?) kann das Spiel manipuliert werden. Definiere es so wie du
>> magst, für mich ist es ein Sicherheitsproblem!
>
> imho ist ne Sicherheitsluecke etwas anderes. Das ist ein Bug!
> Wobei Sicherheitsluecken ja auch durch Bugs enstehen koennen.
> Aber Dein Server wird bestimmt nicht angreifbarer, weil jemand nach
> Abpfiff einen Tipp abgibt.
>
> Wie bereits gesagt wurde, solltest Du mit dem Wort Sicherheitsluecke
> vorsichtiger umgehen.

Nun, nehmen wir mal an, jemand hat das Spiel im Einsatz und 1 Mio. EU
ausgelobt für denjenigen, der alle Spiele richtig tippt. Dann würde ich das
schon als Sicherheitslücke bezeichnen, denn es geht (mit Sicherheit) an
seinen Geldbeutel, was ansonsten nur mit niedrigster Wahrscheinlichkeit
möglich gewesen wäre.

Ein Bug ist ein Fehler im Code (oder im Konzept), eine Sicherheitslücke eine
Möglichkeit für unbefugte Dritte, wie auch immer gearteten Mißbrauch zu
betreiben. Letztere sind letztlich eine Teilmenge von ersteren. In diesem
Fall ist die Mißbrauchsmöglichkeit da, also war die Bezeichnung durchaus
angebracht, jedoch wie so oft, leider an der falschen Stelle platziert.

Die Reigenfolge sollte folgende sein:

Autor kontaktieren
Security Team kontaktieren (ggf. beide parallel, wenn's schwerwiegender ist)
Security Team veröffentlicht eine offizielle Warnung
Stellungnahmen abwarten
Bugfix abwarten
Bugfix öffentlich machen

Joey

-- 
Wenn man keine Ahnung hat: Einfach mal Fresse halten!
(If you have no clues: simply shut your knob sometimes!)
Dieter Nuhr, German comedian
openBC: http://www.cybercraft.de