server side includes (war: Web Meta Language)

[Jan 'Red Bully' Seiffert]

Nabend,

Carola Kummert schrieb:
> On Tue, 2005-01-18 at 16:12 +0100, Martin Baehr wrote:
> 
>>On Tue, Jan 18, 2005 at 04:03:48PM +0100, Carola Kummert wrote:
>>
>>>unsicher ist SSI allemal. Egal was man reinholt, sobald man es
>>>ungeprueft in den Context seines Angebots uebernimmt, ist die
>>>Unsicherheit vorprogrammiert. 
>>
>>das hat aber mit SSI nix zu tun.
>>SSI bedeutet das in die html seite etwas eingebunden wird was vom server
>>kommt, und nicht schon in der html seite drin ist. das muss nicht von
>>einer externen quelle kommen.
> 
> 
> stimmt. Das Einbinden externer Quellen ist nicht zwingend - und trotzdem
> ist es eine Gefahrenquelle. Weil niemand garantiert, dass die
> einzubindenden Quellen permanent sauber sind.
> 
> 
Gut, du redest von externen Quellen, das ist ja auch wirklich ne dumme
Idee, man hat ja keine kontrolle ueber die externen Quellen.
Aber lokal, statisch (ich benutze SSI um in meine statischen Seiten
immer das gleiche statische Menue/Header/Footer einzubetten, naja und
die timestamp "last modified", da ich websites ohne Datum von wann sie
sind doof finde), wie sieht es da aus (mal abgesehen davon das es
langsam sein soll beim Indianer)?

>>an sonsten wäre jede sql query in php auch unsicher.
> 
> 
> *eg* ist es ja auch. 
...
[viele richtige Dinge ueber Umgang mit externen Daten]
...

Darum ist Programmieren fuer die _oeffentlichkeit_ auch so schwer, das
wissen viele (grade wenn sie anfangen) leider nicht.
<ueberspitzt>
Fuer ein Buch "XYZ-Programmieren in n-Tagen" wird leider keine vorlage
eines Waffenschein verlangt.
</ueberspitzt>
Fast jeder Rueckgabewert muss auf einmal beruecksichtig werden, und man
muss mit *allem* als Eingangsdaten rechnen. Schon nur wenn man nicht von
boesartigkeit ausgeht. Ueberlebt ein "my_arguments_parser()" Binaerdaten
weil sich ein XYZ-Client auf die falsche Url verlaufen hat oder jemand
da /dev/dsp reinpiped? Hoffentlich...

Ohh, genug reingesteigert, Zuhause kann ja jeder machen was er will,
aber sobald es oeffentlich erreichbar ist, kanns halt gefaehrlich werden...


> So, jetzt darf ich aber erstmal ein paar Lernwillige weiter in die
> Untiefen der Webprogrammierung geleiten. Ich hoffe mal, der
> $Buchhaendler_des_Vertrauens freut sich gleich ueber viele Anfragen zu
> Buechern ueber Sicherheit von Webapplikationen :)
> 
Hoffentlich... *ganzfestglaub*

> *wink*
> Carola 'Sammy' Kummert
> 
> 
*wave*
Gruss
	Jan

-- 
Fachbegriffe der Informatik (#349): Webdesign
   Mit 100kB DHTML, Flash und Java die Worte »Herzlich willkommen auf
   unseren Seiten. Wenn Sie Informationen wollen, würden wir uns über
   Ihren Anruf freuen« so zu präsentieren, dass sie wenigstens noch
   60% der User lesen können.