kostenloser Webspace werbefrei: lima-city


Sicherheitsrisiko???

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    nigolaz

    Kostenloser Webspace von nigolaz, auf Homepage erstellen warten

    nigolaz hat kostenlosen Webspace.

    Hallo

    Ich habe ein Formular, das dynamisch generiert wird. Darunter gibt es einige Felder, die nicht bearbeitet werden dürfen. Darum wird zB die Checkbox 'Admin' auf disabled="disabled" gestellt.
    Bin zwar noch nicht beim allgemeinen Fehlersuchen angelangt, aber irgendwie scheint mir das zu unsicher: Kann jetzt jemand (böses) die Checkbox auf schreibbar stellen, und sich so zum Admin machen?
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Natürlich geht das.
    Einfach Quelltext des Formulares rauskopieren und bearbeiten, so dass die checkbox entsprechend angekreutzt ist. Dann noch das action="" Attribut so verändern, dass es eine absolute URL ist und einfach abschicken.
  4. Sicherheitsrelevante Einstellungen sollte man immer auf dem Server halten. Sobald du eine Variable dem Client bekannt machst und die weitere Verarbeitung davon abhängig machst, wie sie der Client zurücksendet, wird es einen findigen User geben, der sie manipuliert. Also lass dein Script die Entscheidung, ob jemand Admin ist oder nicht immer nur in Abhängigkeit von Variablen auf dem Server treffen.

    Alles was vom Browser kommt, ist manipulierbar: URLs, HTTP-Header (also auch Cookies) und POST-Daten aus Formularen (auch versteckte).

    Für das seitenübergreifende Aufbewahren von Daten gibt es Sessions:

    http://de.php.net/manual/de/ref.session.php
  5. Autor dieses Themas

    nigolaz

    Kostenloser Webspace von nigolaz, auf Homepage erstellen warten

    nigolaz hat kostenlosen Webspace.

    Sessions sind sicher, oder? (Abgesehen von ID-Klau)
  6. s***h


    Sessions sind sicher, oder? (Abgesehen von ID-Klau)


    Jop, sollten sie sein :D
  7. Schön ausgedrückt.^^

    Abgesehen vom ID-Klau sind sie sicher.

    Leider übertragen viele Websites zusätzlich zur Session-ID (mehr brauchts eigentlich nicht) noch andere Daten (bspw. als Cookie). Damit könnte man trotzdem an Benutzer-Daten gelangen. Aber die Sessions können eigentlich nichts dafür.

    ... und den "Diebstahl" der Session-ID kann man durch verschiedene Maßnahmen zumindest erschweren:

    z.B.:
    http://de.php.net/manual/de/function.session-regenerate-id.php
    (seit PHP 5.1.0 auch wirklich benutzbar)
  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!