Avatar

Bad Behaviour (Technics)

by Milo ⌂, Wednesday, May 09, 2018, 21:18 (138 days ago)

Hi Auge,

kannst Du mir mal kurz erklären, wie Bad Behaviour eigentlich eingebunden ist? Ich sehe zwar den Aufruf in der main.inc.php aber wo wird denn mal eine Funktion aus diesem Plug-in verwendet? Einen Funktionsaufruf von den bb2_ Funktionen sehe ich nicht!? :confused:

/Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Avatar

Bad Behaviour

by Auge ⌂ @, Thursday, May 10, 2018, 13:00 (137 days ago) @ Milo

Hallo

kannst Du mir mal kurz erklären, wie Bad Behaviour eigentlich eingebunden ist?

Öhhm, kann ich nicht. Ich weiß nicht, ob und wie das Programm funtioniert.

Ich sehe zwar den Aufruf in der main.inc.php aber wo wird denn mal eine Funktion aus diesem Plug-in verwendet?

Grundsätzlich kann ein per include oder require (_once) eingebundenes Stück Code ohne weiteren Aufruf im Hauptprogramm funktionieren. Es ist ja nach der Einbindung ein natives Teil des Hauptprogramms. Das Problem im konkreten Fall ist, dass die eingebundene bad-behavior-generic.php selbst nur Funktionen definiert und an ihrem Ende nur ein einziger Aufruf, der der Datei core.inc.php, erfolgt. Auch in dieser Datei werden haufenweise Funktionen definiert und weiterhin ausschließlich die functions.inc.php aufgerufen. Tja, und dort ist Schluss, Aus, Feierabend. Wie zu erwarten, werden Funktionen definiert. Das war's.

Ich habe absolut keinen Schimmer, wie Alex das Programm anspricht, wenn das denn überhaupt passiert. Ich hoffe, er meldet wich mal zu dem Thema. Ansonsten gehe ich davon aus, dass im MLF-Paket seit Jahren toter Code mitgeschleppt wird.

Einen Funktionsaufruf von den bb2_ Funktionen sehe ich nicht!? :confused:

Du stehst nicht allein mit dem verständnislosen Blick ins Uhrwerk da.

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

Avatar

Bad Behaviour

by Milo ⌂, Thursday, May 10, 2018, 13:18 (137 days ago) @ Auge

Hi,

Du stehst nicht allein mit dem verständnislosen Blick ins Uhrwerk da.

Ich habe mal die Dokuseite durchforstet und bin auf die Porting Guide gestoßen. Es scheint tatsächlich so zu sein, dass der require-Aufruf ausreicht. Insofern bin ich erst einmal beruhigt, dass wir keinen toten Code pflegen, auch wenn ich das Prinzip dahinter nicht durchdrungen habe bis jetzt. Ich bin eigentlich nur draufgestoßen, weil in den Datenschutzbestimmungen ja irgendwie aufgeführt sein müsste, was an dritte (hier: Bad Behaviour) übermittelt wird.

/Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Avatar

Bad Behaviour

by Auge ⌂ @, Thursday, May 10, 2018, 13:43 (137 days ago) @ Milo

Hallo

Ich habe mal die Dokuseite durchforstet und bin auf die Porting Guide gestoßen. Es scheint tatsächlich so zu sein, dass der require-Aufruf ausreicht.

Wie du nebenan sehen kannst, bin ich ebenfalls bis dorthin vorgedrungen. :-)

Insofern bin ich erst einmal beruhigt, dass wir keinen toten Code pflegen …

Dito.

Ich bin eigentlich nur draufgestoßen, weil in den Datenschutzbestimmungen ja irgendwie aufgeführt sein müsste, was an dritte (hier: Bad Behaviour) übermittelt wird.

Soweit ich das überblicke, wird nichts nach außen gesendet. Die Funktionen in den Includes legen nahe, dass nur mit den lokalen Regeln, die in diesen Funktionen umgesetzt werden, gearbeitet wird. Soweit ich in der bad-behavior-generic.php lese, soll aber, wenn kein Logging aktiviert ist – und das ist es in MLF nicht –, ein Cookie gesetzt werden. Ich habe in meinen Foren BB aktiviert, es wird bei mir aber kein Cookie gesetzt. *hmm*?

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

Avatar

Bad Behaviour

by Milo ⌂, Thursday, May 10, 2018, 14:01 (137 days ago) @ Auge

Hi,

Wie du nebenan sehen kannst, bin ich ebenfalls bis dorthin vorgedrungen. :-)

Ja, hat sich nur um Sekunden überschnitten.

Soweit ich das überblicke, wird nichts nach außen gesendet.

Hmm, "When Bad Behavior looks at a request, it determines if the request matches a profile of known malicious or spammy activity". Dann müssten ja diese Profile schon bekannt sein, mit denen verglichen wird. Ist es das, was mit jedem Update gepflegt wird z.B. blacklist?

/Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Avatar

Bad Behaviour

by Auge ⌂ @, Thursday, May 10, 2018, 17:01 (137 days ago) @ Milo

Hallo

Soweit ich das überblicke, wird nichts nach außen gesendet.


Hmm, "When Bad Behavior looks at a request, it determines if the request matches a profile of known malicious or spammy activity". Dann müssten ja diese Profile schon bekannt sein, mit denen verglichen wird. Ist es das, was mit jedem Update gepflegt wird z.B. blacklist?

Ja, sieht ganz so aus. Da gibt's zum Beispiel auch die browser.inc.php, in der Browser anhand der Angaben im UA-String erkannt werden sollen. Keine Ahnung, wie effektiv das funktionieren soll, wenn die Funktionen für einige der Browser identischen Inhalt haben und in den Kommentaren für die Checks für die IEs von "Windows CE", "Windows XP" und sogar noch von "Windows ME" die Rede ist.

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

Avatar

Bad Behaviour

by Auge ⌂ @, Thursday, May 10, 2018, 13:18 (137 days ago) @ Auge

Hallo

Ich sehe zwar den Aufruf in der main.inc.php aber wo wird denn mal eine Funktion aus diesem Plug-in verwendet?


Grundsätzlich kann ein per include oder require (_once) eingebundenes Stück Code ohne weiteren Aufruf im Hauptprogramm funktionieren. Es ist ja nach der Einbindung ein natives Teil des Hauptprogramms. Das Problem im konkreten Fall ist, dass die eingebundene bad-behavior-generic.php selbst nur Funktionen definiert und an ihrem Ende nur ein einziger Aufruf, der der Datei core.inc.php, erfolgt. Auch in dieser Datei werden haufenweise Funktionen definiert und weiterhin ausschließlich die functions.inc.php aufgerufen wird. Tja, und dort ist Schluss, Aus, Feierabend. Wie zu erwarten, werden Funktionen definiert. Das war's.

Ich habe absolut keinen Schimmer, wie Alex das Programm anspricht, wenn das denn überhaupt passiert. Ich hoffe, er meldet wich mal zu dem Thema. Ansonsten gehe ich davon aus, dass im MLF-Paket seit Jahren toter Code mitgeschleppt wird.

Der Porting Guide von Bad Behavior spricht auch nur davon, die bad-behavior-generic.php an einer geeigneten Stelle einzubinden. Das soll's gewesen sein. Ausgehend von den oben beschriebenen Beobachtungen fehlt mir dennoch jegliches Verständnis davon, was der Code von Bad Behavior tut, wenn es eingebunden ist.

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

RSS Feed of thread
powered by my little forum