Das CMS des VfL

Seiten

Aktuelle Artikel

Hertha BSC Berlin – VfL Bochum: Die Bloggervorschau (29. Januar 2010)
Der Ausgleichsschrei von Günther Pohl (24. Januar 2010)
Heiko, der Prophet (24. Januar 2010)

Beliebteste Artikel

Links der Woche vom 6.2.-12.2.2009 (13. Februar 2009)
Theo Zwanziger und der Streisand-Effekt (17. November 2008)
Verlierer des 19. Spieltags: SV Werder Bremen (11. Februar 2009)
Gewinner des 19. Spieltags: Roman Weidenfeller (11. Februar 2009)
“Eier, wir brauchen Eier” (3. Januar 2009)

RSS-Feeds

Letzte Kommentare

Andreas Lange bei Hertha BSC Berlin – VfL Bochum: Die Bloggervorschau
Martin bei Das CMS des VfL
ruhrpoet bei Das CMS des VfL
Martin bei Das CMS des VfL
ruhrpoet bei Das CMS des VfL

Twitter: letztermann

http://letztermannhaelt.de ist zurück :-) Online mit neuen Bloggern (danke insbesondere an "Vorbesitzer" Martin) und nun auch auf Twitter! 04:26:16 PM Mai 21, 2010 from web

15. Januar 2010

geschrieben von Martin um 13:45 Uhr – abgelegt unter: VfL Bochum

Das Content-Management-System des VfL Bochum ist eine absolute Katastrophe. Am Tag der Entlassung von Marcel Koller war mehrere Stunden vor Bekanntgabe der Entscheidung bereits eine entsprechende Pressemitteilung online. Diese war zwar nicht auf der Startseite sichtbar, man konnte sie allerdings aufrufen, wenn man die direkte URL kannte. URLs zu raten ist allerdings nicht schwer, sind sie doch immer nach diesem Schema aufgebaut:

http://www.vfl-bochum.de/webcache/Pressemeldungen__meldung_7423_6_de.htm

Wenn man nun mit den Zahlen am Ende ein wenig rumspielt (sprich: hochzählt), kommt man eventuell auf noch nicht veröffentlichte Artikel. Bei jedem billigen Blogsystem wird verhindert, dass nicht freigegebene Artikel einsehbar sind!

Nun ist einem User im westline-Forum ein neues Problem aufgefallen. Wieder durch Hochzählen einer ID sind verschiedene Spielerprofile einsehbar, z. B. Clemens Walch, Sören Bertram oder Faty Papy. Da auch Spieler wie Carlos Eduardo und Miroslav Klose vorhanden sind, glaube ich ja nicht, dass es sich um die Scouting-Datenbank des VfL handelt. Fest steht aber, dass dort Daten angezeigt werden, die da nicht hingehören und damit existiert ein nicht abzuschätzendes Sicherheitsproblem.

Update (14:09 Uhr): westline hat mal beim VfL nachgefragt:

Nach einem kurzen Telefonat steht fest:
Es handelt sich hierbei nicht um die Scouting-Liste des VfL-Bochum.

Für den Ticker werden Spieler-Profile (von gegnerischen Mannschaften) generiert, hierbei findet sich natürlich auch der ein oder andere Dummie (sic!).

Das mit dem Dummie glaube ich gerne

4 Kommentare »

Kommentar von ruhrpoet
15. Januar 2010 um 13:53 Uhr

Ich glaube, die Profile liegen dort, weil die für den Live-Ticker benötigt werden. Aus diesem Grunde ist das Auftauchen von Klose und Co. nicht besonders dramatisch.
Kommentar von Martin
15. Januar 2010 um 14:02 Uhr

Nun, im Liveticker sind die Spieler aber nicht anklickbar. Also besteht gar keine Veranlassung, dass die Daten öffentlich sichtbar sind. Also besteht ein Sicherheitsproblem. Ich möchte nicht wissen, was noch alles öffentlich einsehbar ist, wenn man nur kreativ genug mit den URLs rumspielt.
Kommentar von ruhrpoet
15. Januar 2010 um 14:17 Uhr

Naja, wahrscheinlich nur das, was eh online gestellt würde. Aber ich gebe dir recht, es ist sicherlich eine Sicherheitslücke und auch ein grober Schnitzer. Allerdings müssen – soweit ich weiß – diese Profile angelegt werden, damit sie in der Datenbank für den Ticker erfasst werden können – anklickbar oder nicht
Kommentar von Martin
15. Januar 2010 um 14:38 Uhr

Naja, wahrscheinlich nur das, was eh online gestellt würde.

Siehe damals die Pressemitteilung zur Entlassung Kollers.

Aber danke für die weiteren Infos. Es wäre doch so einfach, das zu verbessern. Man müsste doch nur eine Visible-Spalte in der DB hinzufügen (und die natürlich auch abfragen ).

RSS-Feed für Kommentare zu diesem Artikel. | TrackBack URI

Fußball Blog LetzterMannHält