Wednesday, August 20, 2008 Register Login
Search:    Go
 
 


   Mini Anket Minimize  

1. "Module" ün Türkçesi Nedir?
Submit Survey  View Results
     
 Print   
Burada Reklam Ver 468x60 Reklam Bandı


SearchForum Home
     
  DotNetNuke Güvenlik (Security)  DotNetNuke Güvenlik Açıkları  DNN Forum birim...
 DNN Forum birimindeki güvenlik açığı
 
 2/7/2007 11:57:33 PM
User is offlineXeon
50 posts
www.dnnturkiye.com


DNN Forum birimindeki güvenlik açığı

Merhaba,

Forum birimindeki güvenlik açığı sayesinde dnn siteniz zor durumda bırakılabilir. Kaza ile bulunduğunu düşündüğüm bu açığı kapatmak için wordfilter özelliğini kullanabilirsiniz.

Güvenlik açığının sebebi açıkoturum biriminin metinleri güvenlik süzgecinden geçirmeden veri tabanına kabul etmesinden kaynaklanıyor. Bu sayede açıkoturumlara ileti göndererek siteye javasccript kodu eklemek mümkün.

Dotnetnuke.com bunun farkında ve çok yakında yeni forum birimini yayınlayacaklar.

Bu arada güvenli kalabilmek için wordfilter de s c r i p t kelimesini başka bir kelime ile değiştirmeniz gerekiyor.

Bakalım bir dahaki sefere ne bulacaklar bu haylaz hackerlar

iyi günler

Melih Eroglu
DotNetNuke Türkiye
 2/8/2007 3:44:26 PM
User is offlineredLine
5 posts


Re: DNN Forum birimindeki güvenlik açığı
iyi günler ilk önce şunu belirtmek isterim Açığı bulan kişi olarak açık kaza ile bulunmamışdır :) açık sadece forumda değil dotnetnuke.dll dosyasını kullanan tüm modüllerde geçerlidir istiyosanız deneyip görebilirsiniz örnek verecek olursak blog modülü Sizin dediğiniz gibi text editörden sadece sccript tagını engellemeniz pek bir şey ifade etmez çünkü herhangi bir koruyucu def bulunmadığından dolayı tüm html taglar geçerlidir oraya sccript location yerine m e t a r e f r e s h atılarakda forum yönlendirilebilir yada iframe ile çağırılabilinirde bu yüzden aklınıza gelen tüm tagları teker teker filtrelemenizi öneririm eğer dotnetnuke.dll'nin kaynak kodlarında değişiklik yapamam diyorsanız. Ben Sitenizi Açığa karşı uyarıcakdım yanlız açık forumda yayınlandıkdan sonra haylazın biri eğlence peşine düşmüş :) + Bu Dotnetnukede tarafımızdan bulunan ilk açık değildir bir kaç modun kurulması durumunda çok kolay bi şekilde host logini sıfırlanabiliniyor bu açığı henüz herhangi bir yerde paylaşmadık bu açkla zaten microsoft.fr ve dotnetnukenin bir çok resmi sitesi yine deface edildi.

Özel Not: DnnTurkiye Yıllar önce benim projemdi daha doğrusu açmayı düşünüyodum ama fazla uğraşamayacağımı düşndüğümden dolayı vaz geçmişdim siz açmışsınız umarım sizler bu yolda başarılı olursunuz Çalışmalarınız için kolay gelsin :)
 2/8/2007 4:41:27 PM
User is offlineXeon
50 posts
www.dnnturkiye.com


Re: DNN Forum birimindeki güvenlik açığı
Merhaba,

Öncelikle tavsiyelerin için teşekkürler...

Bende uzun zamandır dnnturkiye yi kurmayı düşünüyordum fakat bir türlü vakit olmamıştı. Aslına bakılırsa şu anda bile çok fazla vakit ayıramıyorum.

Ha bu gün ha yarın diyerek ertelememek için bu siteyi bir an önce açayım istedim. Bunun bir nedeni de Türkiye deki webmaster lara yararlı olabilmek ve onların isimlerini tüm dünyaya duyurmaktı....

Bu site senin gibi tecrübeli webmasterlar sayesinde büyüyecek ve bizlere hizmet verecektir.

Görüldüğü gibi açıkoturumlardaki özel reklamlardan rahatsız olmuyoruz. Çünkü bunlar eninde sonunda bizlerin gelişimi için...

Melih Eroglu
DotNetNuke Türkiye
 2/8/2007 4:51:50 PM
User is offlineredLine
5 posts


Re: DNN Forum birimindeki güvenlik açığı
ilk önce teşekkür ederim sonuçda bu sitenin açılması bile güzel bişey bir zamanlar dnn aşığıydım yani dnn ne biliyim dnn diğer s c r i p tler gibi değildi ama inanın belkide pek üstüne düşülmediğinden dolayı bir çok açık ve bug barındırmakda portal olarak herhangi bir modül vs.. eklentisi olmadan gerçekden çok güvenli bir portal ama dediğim gibi modüller olmadan. Yanlış anlamazsanız size .net dilinde yazılmış (bence) en güvenli ve güzel forum olan YetAnotherForum'u tavsiye ederim üstelik .net le uyumlu çalışabiliyor. Son olark Umarım başladığınız bu işde güzl modüller ve skinler yazarak Türk Halkınada .Net aşkını empoze edersiniz kolay gelsin :)
 2/14/2007 9:47:42 AM
User is offlinegreenflash
28 posts
www.mikroproje.com


Re: DNN Forum birimindeki güvenlik açığı
Slm Redline ve xeon, DNN gerçekten çok başarılı bir açık kaynaklı yazılım. Ancak Core Team bazı sorunları çözmek yerine kendi aralarındaki sorunlarla uğraşıyor. Bu da core modülleri dahil birçok eklentinin güvenlik sorunlarına davetiye çıkarmasına neden oluyor.

Sadece güvenlik değil, kullanım olarak da bazı problemler var. Mesela FreeTextBox Türkçe Desteği konusunda sınıfta kalıyor. Yaklaşık 1 yıl önce FTB geliştiricisine bazı sorunları içeren bir Eposta göndermiştim, verdiği cevap çok komikti. Sizin Diliniz Bozuk!

Bu bir aşağılamadan başka bir şey değildir. Ben daha sonra o zamanlar çok yardımını gördüğüm sayın İlyas Daşkaya'dan bu sorunla ilgili yardım aldım. FTB'yi Türkçe Dil Paketleri ile çalışır hale getirmek için DotNetNuke Source paketini yeniden inşa etmek ve Format HTML to XHTML gibi bazı değişiklikleri FTB Provider' ı için yapmak gerekiyordu.

Aynı sorun FTB'nin yayınlanan tüm sürümlerinde devam ediyor. Eğer elle değişiklik yapmazsak FTB DNN ile Türkçe kültüründe çalışmıyor.

Ayrıca Announcements modülü Şablon sistemini kullanıyor ve ilk sürümleri hariç Türkçe Dil Paketi ile bu modül de çalışmıyor. İçerik yerine TOKEN adıyla anılan jetonlar görülüyor.

Ben 2.0 sürümünden beri DNN'i kullanıyorum. Çekmediğim çile kalmadı. Öğrendikten sonra çok güzel bir uygulama. Ancak öğrenmek için sabır gerekiyor. Şu an websitemde DotNetNuke 4.4.1 ve çekirdek modüllerinin yanısıra bazı Ticari modüllerin de Türkçe Dil Paketlerini kullanıcılara sunuyorum. Ayrıca Türkçe Rehberle DotNetNuke ve kullanımına yönelik kullanıcı dostu içerik hazırlıyorum.

DNN daha da gelişecek. Ama DNN kullanan sitelerin mutlaka Gemini'yi (DNN Support bölümünü) takip etmesi gerekiyor.

İyi çalışmalar
 Page 1 of 2
NextNo Rating
12Next 
  DotNetNuke Güvenlik (Security)  DotNetNuke Güvenlik Açıkları  DNN Forum birim...
Burada Reklam Ver 468x60 Reklam Bandı
 
 
Terms Of Use  Privacy Statement