Login Script sicherer machen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
agent
algorithmus
browser
code
datenbank
frage
ftp
glauben
hacken
http
idee
jemand
machen
regel
safari
schnittstelle
server
session
url
zugriff
-
sebulon schrieb:
und da es noch keinen alles lösenden algorithmus gibt, bleibt den leuten nur noch das altbekannte bruteforce^^
Aber auch nur solange sie die Reihenfolge der Algorithmen kennen.
Das Problem denke ich ist aber, das es wirklich sehr rechenintensiv werden kann. Aber letzten Endes hat man - sofern der Cracker Zugriff auf die Datenbank (und da die meisten Datenbanken lokal sind, auch aufs Dateisystem deines Servers) - ganz andere Probleme. ;) Wenn derjenige dann das gesamte Script klaut, ist deine gesamte Arbeit 'weg'. ;) Von den tausend anderen illegalen Möglichkeiten. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Deswegen hatte ich geschrieben: Verschlüsselt das Script in der Datenbank ablegen... wie gesagt, es gibt nix absolut sicheres, man kann es nur erschweren... und solange man sowieso keine kontrolle über den physischen Zugrifdf auf den Server hat, bekommt man es auch nicht annähernd sicher...
sicherer wäre es, ftp aus dem Internet ganz zu deaktivieren... mySQL sowieso nur über die local-host-schnittstelle und interaktive EIngaben von Sonderzeichen zu entwerten... dann kommt dir keiner mehr drauf von außen, wenn der Apache oder deine Firewall keine schwachstellen haben... -
sebulon schrieb:
Wenn man kein FTP Zugang mehr hätte wie sollte man dann etwas auf den Server Laden?
sicherer wäre es, ftp aus dem Internet ganz zu deaktivieren... -
sebulon schrieb:
sicherer wäre es, ftp aus dem Internet ganz zu deaktivieren... mySQL sowieso nur über die local-host-schnittstelle und interaktive EIngaben von Sonderzeichen zu entwerten... dann kommt dir keiner mehr drauf von außen, wenn der Apache oder deine Firewall keine schwachstellen haben...
;) Es gibt immer etwas, was potenziell gefährlich sein könnte. Auch ein Fehler in deinem Betriebssystem. Da bist du es noch nicht mal Schuld, machen tust du aber nichts. Letzten Endes gibt es keine 100%ige Sicherheit, die brauchst du aber eigentlich auch nicht. Auch Bigpoint und Co kommen mit den ganzen Sicherheitsvorkehrungen die wir hier beschrieben haben sicherlich aus.
siteplayer schrieb:
Wenn man kein FTP Zugang mehr hätte wie sollte man dann etwas auf den Server Laden?
Die ganz großen Firmen haben meistens ihre eigenen Rechenzentren, größere normale Firmen meistens ihre eigenen Server in der Firma stehen (Industriegebiete haben meistens eine hohe Uploadanbindung, die sowas ermöglicht). Wenn du also physikialischen Zugriff auf den Server hast, brauchst du FTP nicht - da reicht auch ein USB Stick aus (vorher auf Viren prüfen. ;D). Wenn du wie viele andere einen gemietet hast. Da wirds schwer. Da solltest du dann durch einen Weg FTP nur wenn nötig aktivieren. Da sollten Strato und Co dann z:B. eine Telefonfunktion o.ä. einrichten. -
robbmaster schrieb:
Die ganz großen Firmen haben meistens ihre eigenen Rechenzentren, größere normale Firmen meistens ihre eigenen Server in der Firma stehen (Industriegebiete haben meistens eine hohe Uploadanbindung, die sowas ermöglicht). Wenn du also physikialischen Zugriff auf den Server hast, brauchst du FTP nicht - da reicht auch ein USB Stick aus (vorher auf Viren prüfen. ;D). Wenn du wie viele andere einen gemietet hast. Da wirds schwer. Da solltest du dann durch einen Weg FTP nur wenn nötig aktivieren. Da sollten Strato und Co dann z:B. eine Telefonfunktion o.ä. einrichten.
nun, in diesen Unternehmen haben die Rechner meist eine 2. netzwerkschnittstelle, von wo sie aus von innen darauf zugreifen können, von außen aber keine chance haben... USB-Stick sehe ich wieder als sicherheitsrisiko... wer rennt schon wegen nem Update mit dem Stick in den serverraum und werkelt da an ner admin-Konsole rum oO
in der regel hat man sowieso monitoring.-tools laufen über eine schnittstelle ins Intranet und darüber macht man dann SCP, alsp verschlüsseltes ftp... -
sebulon schrieb:
robbmaster schrieb:
Die ganz großen Firmen haben meistens ihre eigenen Rechenzentren, größere normale Firmen meistens ihre eigenen Server in der Firma stehen (Industriegebiete haben meistens eine hohe Uploadanbindung, die sowas ermöglicht). Wenn du also physikialischen Zugriff auf den Server hast, brauchst du FTP nicht - da reicht auch ein USB Stick aus (vorher auf Viren prüfen. ;D). Wenn du wie viele andere einen gemietet hast. Da wirds schwer. Da solltest du dann durch einen Weg FTP nur wenn nötig aktivieren. Da sollten Strato und Co dann z:B. eine Telefonfunktion o.ä. einrichten.
nun, in diesen Unternehmen haben die Rechner meist eine 2. netzwerkschnittstelle, von wo sie aus von innen darauf zugreifen können, von außen aber keine chance haben... USB-Stick sehe ich wieder als sicherheitsrisiko... wer rennt schon wegen nem Update mit dem Stick in den serverraum und werkelt da an ner admin-Konsole rum oO
in der regel hat man sowieso monitoring.-tools laufen über eine schnittstelle ins Intranet und darüber macht man dann SCP, alsp verschlüsseltes ftp...
Bzw., ich habs auch schon gesehen, dass die Server via Intranet direkt an die Computer der jeweiligen Leiter (Geschäftsführer o.ä.) gebunden sind, die also über's ganz normale Dateisystem darauf zugreifen können (unter Mac kann man jedenfalls auch verschlüsselte Verbindungen über den Finder regeln. Und Windows und Linux fehlen mir dazu die Informationen). Da müssen sich die etwaigen Leute nicht mal mehr bewegen. ;) -
wäh... der GeFü ist meist das größte sicherheitsrisiko im Netz...
für den erstellt maneine extra-instanz, wo er denkt, er ist auf der aktuellem maschine, sieht aber nur das Abbild vom Vortag, weil das der Backup ist...
macht mehr sinn, nen zentralen Admin-PC ranzuhängen...
macht die administration einfacher, wenn nur 1 Rechner drauf kommt...
hat aber nixmehr mit dem Ursprünglichen Systemzu tun.
ich bin immer noch der meinung, willkürlich nacheinander gewählte Primitiv-verfahren sind schwerer zuknacken, als ein komplizierteres Verfahren, was zudem mehr CPU-zeit benötigt... man darf eben nicht zwischendurch cachen, sondern muss es in einem Fluss halten... wenn der laufend zwischen RAM und CPU den Mist hin und herschiebt, hat man verloren... dauert 3 fach so lang wie das andere... -
Kann man eigentlich Daten (z.B.: Bilder) die man gerade hoch lädt mit einem PHP Script auf Schad-Programme und Co überprüfen?
-
Es gibt einen online-Virencheck:
http://www.virustotal.com/
man könnte sich über php ein script bauen, was die Datei erst dort reinlädt und erst wenn von da das ok kam, dann reinlädt... der User müsste aber 2 Upload-durchgänge über sich ergehen lassen...
in der Regel hat dein Webspace-Anbieter eigene Antivirenprogramme laufen, die Checken, ob bei dir was schadhaftes draufkommt, von daher müsstest du dir da eigentlich keine Sorgen machen... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage