Pipelife International mit neuer Website
21.01.2009 07:04 dah
Die Grazer Online-Agentur Wukonig relauncht den Internetauftritt des Österreicher Spezialisten für Kunststoffrohre Pipelife International.
Die steirische Internetagentur hat die Internetseiten von Pipelife International einem umfassenden Relaunch unterzogen. Die Seiten des Produzenten von Kunststoffrohren und Verbindungsstücken erhielten ein aktuelles Design und eine optimierte, übersichtlichere Navigation. Mit einem Klick sind nun auch die internationalen Webseiten des Unternehmens aufzurufen. Die Internetpräsenz bietet für jedes Land, in dem das Unternehmen eine Niederlassung hat eine individuelle Seite an, die sich dennoch insgesamt in das Corporate Design eingliedern. Wukonig hat im Rahmen des Relaunches auch das Redaktionssystem aller Länderseiten umgestellt.
Michael Schwarz am 24.01.2009
Scriptkiddie kein Profi
@ Jörg Wukonig
Sehr geehrter Herr Wukonig,
„Die Aussage wir hätten "alle Websites auf XSS" umgestellt ist unrichtig, da wir nicht mutwillig Schwachstellen implementieren.“
Ich glaube nicht das hier jemand annimmt das Sie mutwillig Fehler in eine WebSite einbauen. Wenn ich das richtig sehe, war der Satz ein Zitat aus dem Artikel selber, in welches nur das „auf XSS“ eingefügt wurde.
„Vielmehr ist es so, dass wir als Agentur auf Module und Komponenten von Drittanbietern zurückgreifen, ...“
Und dabei sollte man auch nicht zu sehr Vertrauen in deren Arbeit haben. Nicht nur in den von Ihnen erwähnten Open Source CMS findet man Sicherheitslücken, auch Content Management Systeme ab 30.000 Euro und weit darüber, habe Lücken. XSS, CSFR oder auch SQL-Injection scheinen viele Entwickler nicht zu kennen.
„Im Vorliegenden Fall haben wir durch das öffentliche Posting hier von der Schwachstelle erfahren und leider nicht - wie es sonst unter Security-Profis üblich ist...“
Der „XSS-König“ ist ganz sicher kein Profi, der bei seiner täglichen Arbeit immer wieder auf Fehler trifft und diese natürlich vertraulich behandelt. Ich würde ihn eher als Scriptkiddie einstufen.
„Wie auch immer. Wir haben das erwähnte XSS Leak geschlossen und die betroffenen Komponeten-Hersteller informiert.“
Ich habe Ihnen eine E-Mail dazu geschickt.
„Weiters wird insofern übers Ziel hinausgeschossen, da auch unwahre Behauptungen über Dritte aufgestellt werden.“
Von Scriptkiddies sollten Sie nicht zu viel Recherche erwarten.
„Ich nehme die Kommentare hier zum Anlass, künftig nach Maßgabe aller zur Verfügung...“
Bei all dem Ärger über den „XSS-König“ hat es dann doch einen positiven Einfluss auf Ihre Arbeit genommen.
MfG
Michael Schwarz
Jörg Wukonig am 23.01.2009
Klarstellung
Liebe Kommentatoren,
ich will die Gelegenheit ergreifen um auf die bisherigen Aussagen zu reagieren, da unsere Agentur hier direkt angesprochen -und wie ich meine teilweise zu Unrecht- verächtlich gemacht wird.
Erstens würde ich gerne auf "Augenhöhe" reden, dh. mit jemand der sich unter einem anonymen Kürzel verbirgt und dann unwahre oder falsch recherchierte Behauptungen äussert, sollte auch den Mut haben sich hier mit seinem Namen vorzustellen, wenn er oder sie zu seinen Aussagen steht.
Die Aussage wir hätten "alle Websites auf XSS" umgestellt ist unrichtig, da wir nicht mutwillig Schwachstellen implementieren. Vielmehr ist es so, dass wir als Agentur auf Module und Komponenten von Drittanbietern zurückgreifen, die -zugegebenermassen- nicht immer das Sicherheitslevel einhalten, welches man gerne hätte. Ich will keine allgemeine Sicherheitsdebatte vom Zaun reissen, aber leider gibt es schon täglich dutzende Meldungen über zahlreiche potenzielle Security-Leaks in verbreiteten CMS Systemen (z.b. aktuell Sicherheits-Update schließt kritische Lücke in Typo3 - XSS).
Im Vorliegenden Fall haben wir durch das öffentliche Posting hier von der Schwachstelle erfahren und leider nicht - wie es sonst unter Security-Profis üblich ist - direkt vom demjenigen, der das Problem gefunden hat, um es zu rasch zu beheben. Das ist vielleicht nicht der beste Stil.
Wie auch immer. Wir haben das erwähnte XSS Leak geschlossen und die betroffenen Komponeten-Hersteller informiert.
Weiters wird insofern übers Ziel hinausgeschossen, da auch unwahre Behauptungen über Dritte aufgestellt werden. So haben wir in einem Fall ein Webkonzept und Screendesign für einen Kunden erstellt, eine andere Agentur die technische Umsetzung erledigt. In einem andern Fall ist die Umsetzung inHouse erfolgt. Das bedeutet, dass scheinbar nicht nur wir, sondern auch andere namhafte Entwickler -leider- nicht alle Applikationen auf alle Probleme abgetestet haben oder die Problemstellung im Einzelfall nicht immer bewusst war. Jedenfalls hat der Auffinder sich nicht die Mühe gemacht genauer nachzuprüfen, wem er was vorwirft und hier
sehr untergriffig nur in Richtung unserer Agentur argumentiert.
Ich nehme die Kommentare hier zum Anlass, künftig nach Maßgabe aller zur Verfügung stehenden Mittel mein besten zu tun, das solche Schwachstellen nach Möglichkeit ausgeräumt werden und ersuche alle Leser, Kommentoren und Mitbewerber um ein gewisses Maß an Diskussionskultur.
Ich möchte trotzdem jedem aufmerksamen Leak-Reporter danken, denn nur gemeinsam wird es möglich sein, die Sicherheitsrisiken der Zukunft im Zaum zu halten.
In diesem Sinne wünsche ich uns allen eine bugfreie Zukunft!
Jörg Wukonig
Schneewante am 21.01.2009
*****
So Unrecht hat er da aber auch nicht...
Wenn eine Agentur Site um Site raushaut und sich nicht um etwaige Sicherheitslücken kümmert, finde ich das schon ein starkes Stück.
M. Weber am 21.01.2009
*******
@XSS-König
Wer urteilt den darüber, ob jemand ein "*****" ist oder nicht? Sie?
Schneewante am 21.01.2009
Wer lesen kann....
Da hätte ich wohl genauer lesen oder die Links in den Browser ziehen müssen.
"Wutkönig" ;-)
Das ist natürlich keine besonders gute Werbung für die Agentur.
XSS-König am 21.01.2009
Kommentarspam geht anders
Kommentarspam sind Kommentare die nichts passendes zu einem Artikel beitragen.
Meine aufgeführten Links zeigen das die Agentur Wukonig nur ******* beschäftigt, die ihren Kunden Internetseiten mit dummen Fehlern verkauft. Cross-Site Scripting ist keine neuartige Lücke und trotzdem schafft diese Agentur es nicht sicher Internetprojekte zu realisieren.
Auch der Relaunch der Messe Graz durch Wukonig ist vollkommen missglückt:
http://tinyurl.com/wutkoenig6
Wer solche Fehler macht gehört gebrandmarkt und aus dem Web-Business verbannt.
Schneewante am 21.01.2009
@ XSS-König
Könnten Sie bitte diesen stupiden Kommentarspam unterlassen. HTML ist hier eh deaktiviert...
XSSKönig am 21.01.2009
XSS 2
Zum Glück ist die Agentur WutKönig primär in Österreich tätig:
http://tinyurl.com/wutkoenig1
http://tinyurl.com/wutkoenig2
http://tinyurl.com/wutkoenig3
http://tinyurl.com/wutkoenig4
http://tinyurl.com/wutkoenig5
XSS-König! am 21.01.2009
XSS
Ganz großes Kino!
Wukonig hat im Rahmen des Relaunches auch das Redaktionssystem aller Länderseiten auf XSS umgestellt.
http://tinyurl.com/xsskoenig