Dirk Deimeke: Ich bin der Meinung, dass Fehlermeldungen von der Anwendung abgefangen werden müssen und für den Anwender verständlich aufbereitet werden sollen.

Das habe ich damit auch zu beschreiben versucht.

onli: Ich kann bei den Meldungen keinen Angriffspunkt ausmachen.

Ich meine wenn auftaucht mit welchem User zugegriffen werden soll, wenn der Pfad zu Dateien, die auf die Datenbank zugreifen im Klartext erscheint und die Serverstruktur bereits veröffentlicht wird, dann wird ein Angriff so leichter.

Ich habe auf unserem Server immer wieder Versuche zuzugreifen, indem mit einem Skript, die häufig benutzten Namen aufgerufen werden. Wenn es jedoch schon vorher klar ist, wo man suchen muss, wird es leichter…

onli: Immerhin wird so klar gemacht: Das ist nicht so komisch, da ist was kaputt.

Nun, es sollte beim Testen mit eingeschalteten Fehlermeldungen alles repariert werden was kaputt ist. Bei Fehlern, die nachträglich auftreten können, sollten für Nutzer verständliche Fehlermeldungen ausgegeben werden. Bekomme ich anhand einer Nutzerfehlermeldung den Hinweis, dass etwas kaputt ist, dann schalte ich die Fehlermeldungen ja wieder ein, und hole mir die genaueren Infos.

Immerhin wird so klar gemacht: Das ist nicht so komisch, da ist was kaputt.