10.11.2024 - 19:37
*
Mehr Gliederungen gegenüber dem Basisreport
Support Forum
- Forum
- CAD Allgemein
- CAD Listen / Reports / (variables) Besch...
Report - Wände
Hilfreichste Antwort anzeigen Hilfreichste Antwort verbergen
11.11.2024 - 08:32
*
Du könntest die zip-Datei mit einem Virenscanner scannen, und nach dem Entpacken
einfach NICHT auf verdächtige, ausführbare Dateien klicken bzw. solche,
die Macros ausführen können (Word, Excel etc).
Der Inhalt dieser zip-Datei ist eine rdlc.Datei, also eine Textdatei mit XML-Formatierung.
Das sind nur Daten, und diese ist nicht ausführbar!
Aber eine andere Sicherheitslücke gibt es seit der Einführung der Python-API.
Allplan hat es nicht für nötig gehalten, kritische Python-Funktionen zu blockieren
bzw. kritische Python-Bibliotheken vom Import auszuschliessen.
Man bietet sogar Service-Funktionen in Python an, um Allplan-Dateien (Teilbilder) umzubenennen.
Der Schaden muss bei so etwas gar nicht beabsichtigt sein. Ein Fehler im Script reicht aus
um alle Teilbilder ungewollt umzubenennen.
Und es geht noch weiter, in Python kann man auf dem Computer alles machen:
z.B. beliebige Dateien verschlüsseln oder löschen,
oder Dateien scannen und die Infos ins Internet senden
oder Malware aus dem Interent ziehen, entpacken und ausführen.
Keiner kann das überwachen bzw. kontrollieren, da die Python-Scripte auch noch verschlüsselt sind.
Viel mehr "Respekt" sollte man daher vor dem Einsatz von verschlüsselten PythonParts aus unbekannter Quelle haben.
Es wäre schön gewesen, wenn Allplan die Möglichkeit vorgesehen hätte, die Scripte vor der Verschlüsselung zu prüfen und dann zu signieren. Damit wäre die Sicherheit erhöht worden, daß keine schädliche Software in Python ausgeführt wird.
11.11.2024 - 07:22
Moin Reports_fuer_Spenden,
ohne Dir zu Nahe treten zu wollen, aber bei dieser Art Post würde ich den Link (Zip) nicht anklicken wollen.
Ohne Beschreibung und nur mit Überschrift, kommt mir das direkt mit dieser Art Anhang verdächtig vor - auch wenn Du es sicherlich nicht so meinst.
@Allplan: Das bringt mich zu der Frage, ob jegliche Anhänge Eurer Connect-Seite hier getestet und sauber sind? Hier landet ja schon öfter Spam und Gedöns, was dann auch mal einen oder zwei Tage online bleibt.
Mit besten Grüßen, Kai
| Ingenieurbau&Allplan seit V15 | aktuell: V2025-1-2 |
11.11.2024 - 08:32
*
[Hilfreichste Antwort]
Du könntest die zip-Datei mit einem Virenscanner scannen, und nach dem Entpacken
einfach NICHT auf verdächtige, ausführbare Dateien klicken bzw. solche,
die Macros ausführen können (Word, Excel etc).
Der Inhalt dieser zip-Datei ist eine rdlc.Datei, also eine Textdatei mit XML-Formatierung.
Das sind nur Daten, und diese ist nicht ausführbar!
Aber eine andere Sicherheitslücke gibt es seit der Einführung der Python-API.
Allplan hat es nicht für nötig gehalten, kritische Python-Funktionen zu blockieren
bzw. kritische Python-Bibliotheken vom Import auszuschliessen.
Man bietet sogar Service-Funktionen in Python an, um Allplan-Dateien (Teilbilder) umzubenennen.
Der Schaden muss bei so etwas gar nicht beabsichtigt sein. Ein Fehler im Script reicht aus
um alle Teilbilder ungewollt umzubenennen.
Und es geht noch weiter, in Python kann man auf dem Computer alles machen:
z.B. beliebige Dateien verschlüsseln oder löschen,
oder Dateien scannen und die Infos ins Internet senden
oder Malware aus dem Interent ziehen, entpacken und ausführen.
Keiner kann das überwachen bzw. kontrollieren, da die Python-Scripte auch noch verschlüsselt sind.
Viel mehr "Respekt" sollte man daher vor dem Einsatz von verschlüsselten PythonParts aus unbekannter Quelle haben.
Es wäre schön gewesen, wenn Allplan die Möglichkeit vorgesehen hätte, die Scripte vor der Verschlüsselung zu prüfen und dann zu signieren. Damit wäre die Sicherheit erhöht worden, daß keine schädliche Software in Python ausgeführt wird.
11.11.2024 - 08:37
Besten Dank. Das war als generelle Frage so gemeint.
Die Skepsis bei Dateien aus dem Internet ist immer da.
Mit besten Grüßen, Kai
| Ingenieurbau&Allplan seit V15 | aktuell: V2025-1-2 |
11.11.2024 - 09:48
Zitiert von: O_o
@Allplan: Das bringt mich zu der Frage, ob jegliche Anhänge Eurer Connect-Seite hier getestet und sauber sind?
Nein, ein Viren Scanner für die Dateianhänge läuft hier nicht. Darum sind die erlaubten Dateiformate beschränkt, ein direkter Zugriff auf die Dateien ist nicht möglich und wie Nemo schreibt:
- lokaler Viren scanner ist genauso notwendig wie gesundes Mißtrauen.
- python scripte sind da viel gefährlicher als eine Zip Datei ..
Allplan Webentwicklung
Private messages must be private. No support request via Private message.
11.11.2024 - 11:25
*
Moin _RfS_ ,
super Report!... wenn Allplan nun einen Report mit Allen ARC-Bauteilen generieren würde, das wäre Top für schnelle Mengenübersicht.
Was ich nicht verstehe, sind die Summen Zeilen am Ende, was summieren die auf, da alle gleich...?
Gruß!
Jürgen
Allplan Ingenieurbau V10 bis V2025
