[TYPO3-german] Ist das TYPO3?

[Rainer Schleevoigt]

On 9/6/11 5:25 PM, Martin Schoenbeck wrote:
> Hallo Rainer,
>
> Rainer Schleevoigt schrieb:
>
>> Für mich ist Nachhaltigkeit und Qualität eine Grundfeste und ich bin
>> erschüttert, womit Geld gemacht wird.
> Ich habe mal bei einem Verein eine Website übernommen, die war auch von
> einer Agentur erstellt (nicht TYPO3), da konnte man eigene Termine
> eintragen, die dann noch freigeschaltet werden mußten. Das Insert-Statement
> dafür stand in einem unsichtbar geschalteten Browserfeld und wurde nach
> Rücksenden der Daten ohne weitere Überprüfung ausgeführt. Da mußte ein
> Angreifer noch nicht mal eine SQL-Injection basteln.
>
> Es gibt nichts, was man nicht noch dümmer machen könnte.

Georg hat natürlich Recht, die Vorgeschichte ist oft Anlass. Ichversetze 
mich nur in die Rolle des AG, der Geld ausgeben möchte und auch vllt 
genau formuliert, was er inhaltlich erwartet, geht zu einer TYPO-Agentur 
(gut!) und bekommt dann einen Etikettenschwindel vorgelegt. Ich meine, 
wenn ich die Navi ins Template fest code, dort auch die JS-Sachen fest 
einbinde und dann den gesamten Inhalt aus tausenden php-Schnipseln baue, 
die dann munter nativ auf die DB zugreifen, dann halte ich das für frech 
oder eben naiv.
Sicherheit? „Ist doch https“ –das habe ich tatsächlich mal gehört, als 
ich feststellte, das eben alles ging (SQL-Injection + Ausführung von 
JS-Code aus Formularelementen).

Was macht das? es kann nachhaltig den Ruf unserer Branche schaden. Das 
macht mir Angst ...

Rainer

> Gruß Martin


-- 
Dipl.-Ing. Rainer Schleevoigt
Webmasterei Hamburg
iPhone/Android Developer
Certified TYPO3 Integrator
22303 Hamburg
Novalisweg 10