kostenloser Webspace werbefrei: lima-city

Sicherheitsrisiko???

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

abhngigkeit action attribut benutzer client daten diebstahl einstellung entscheidung formular manual massnahme quelltext session treffen variable verarbeitung
  1. Autor dieses Themas

    nigolaz

    Kostenloser Webspace von nigolaz, auf Homepage erstellen warten

    nigolaz hat kostenlosen Webspace.

    19:29, 20.4.2007
    Hallo

    Ich habe ein Formular, das dynamisch generiert wird. Darunter gibt es einige Felder, die nicht bearbeitet werden dürfen. Darum wird zB die Checkbox 'Admin' auf disabled="disabled" gestellt.
    Bin zwar noch nicht beim allgemeinen Fehlersuchen angelangt, aber irgendwie scheint mir das zu unsicher: Kann jetzt jemand (böses) die Checkbox auf schreibbar stellen, und sich so zum Admin machen?

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. bladehunter

    Kostenloser Webspace von bladehunter

    bladehunter hat kostenlosen Webspace.

    21:28, 20.4.2007
    Natürlich geht das.
    Einfach Quelltext des Formulares rauskopieren und bearbeiten, so dass die checkbox entsprechend angekreutzt ist. Dann noch das action="" Attribut so verändern, dass es eine absolute URL ist und einfach abschicken.

  4. alopex

    Kostenloser Webspace von alopex

    alopex hat kostenlosen Webspace.

    21:47, 20.4.2007
    Sicherheitsrelevante Einstellungen sollte man immer auf dem Server halten. Sobald du eine Variable dem Client bekannt machst und die weitere Verarbeitung davon abhängig machst, wie sie der Client zurücksendet, wird es einen findigen User geben, der sie manipuliert. Also lass dein Script die Entscheidung, ob jemand Admin ist oder nicht immer nur in Abhängigkeit von Variablen auf dem Server treffen.

    Alles was vom Browser kommt, ist manipulierbar: URLs, HTTP-Header (also auch Cookies) und POST-Daten aus Formularen (auch versteckte).

    Für das seitenübergreifende Aufbewahren von Daten gibt es Sessions:

    http://de.php.net/manual/de/ref.session.php
  5. Autor dieses Themas

    nigolaz

    Kostenloser Webspace von nigolaz, auf Homepage erstellen warten

    nigolaz hat kostenlosen Webspace.

    22:05, 20.4.2007
    Sessions sind sicher, oder? (Abgesehen von ID-Klau)

  6. s***h

    22:51, 20.4.2007

    Sessions sind sicher, oder? (Abgesehen von ID-Klau)


    Jop, sollten sie sein :D

  7. alopex

    Kostenloser Webspace von alopex

    alopex hat kostenlosen Webspace.

    23:34, 20.4.2007
    Schön ausgedrückt.^^

    Abgesehen vom ID-Klau sind sie sicher.

    Leider übertragen viele Websites zusätzlich zur Session-ID (mehr brauchts eigentlich nicht) noch andere Daten (bspw. als Cookie). Damit könnte man trotzdem an Benutzer-Daten gelangen. Aber die Sessions können eigentlich nichts dafür.

    ... und den "Diebstahl" der Session-ID kann man durch verschiedene Maßnahmen zumindest erschweren:

    z.B.:
    http://de.php.net/manual/de/function.session-regenerate-id.php
    (seit PHP 5.1.0 auch wirklich benutzbar)

  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!