Wann ist eine SSL Verschlüsselung Sinnvoll
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angreifer
anwendung
attacke
code
dank
datei
datenbank
datum
dienst
ftp
kommunizieren
liegen
list
server
sicherheit
textdatei
url
variable code
wichtige informationen
zugriff
-
Hallo,
wann ist eine SSL Verschlüsselung Sinnvoll? Welche Daten können wie abgegriffen werden?
Bei mir auf der Seite können sich Leute registrieren und sollen dann auch persönliche Daten angeben. Diese werden in einer SQL Datenbank gespeichert.
Wie weit können dritte das absniffen oder auf die SQL Datenbank zugreifen? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Das ist so allgemein kaum zu beantworten. Grundsätzlich gibt es diverse Möglichkeiten, als erstes wäre da SQL Injection zu nennen. Dies ist möglich, solange man Benutzereingaben grundsätzlich traut. Über eine bestimmte Kombination, kann über Formularfelder der Zugriff auf die Datenbank erfolgen,
SSL ist eigentlich immer sinnvoll, allerdings kann diese Technik auch durch eine "Man in the middle" Methode abgefangen werden.
Die 100%ige Sicherheit gibt es schlichtweg nicht! -
ja einer SQL injection hab ich mit
preg_replace("/[^A-Z a-z0-9]/", "", $Variable);
und
$name = mysql_real_escape_string($_POST["name"]);
ganz gut verhindert oder und bin damit relativ sicher oder?
wie kommt man den sonst in die SQL rein? Bzw. welche Sicherheitslücken muss ich auf jedenfall noch schließen.
DANKE -
highborn schrieb:
wie kommt man den sonst in die SQL rein? Bzw. welche Sicherheitslücken muss ich auf jedenfall noch schließen.
Beispielsweise mit
http://de.wikipedia.org/wiki/Cross-Site_Scripting
außerdem solltest du dich gegen brute force attacken schützen. das machst du ganz einfach mit "nach 3 falschen login versuchen 15 min login sperre" oder nen captcha ist auch nie verkehrt -
hmm.. die können schon bruten, wenn du so ein benutzer pw haben ist nicht schlimm...
http://de.wikipedia.org/wiki/Cross-Site_Scripting
sollte doch mit dem hier nicht möglich sein, da ich ja alle "<" oder ">" mit nichts ersetze.
preg_replace("/[^A-Z a-z0-9]/", "", $Variable);
Allerdings hab ich auch stellen wo ich nur
weils nicht anderst geht.$name = mysql_real_escape_string($_POST["name"]);
Wie kann ich den hier absichern, dass diese Cross-Site-Scripting nicht durchgeführt werden kann? In Wiki steht White-List? Doch wie realisiere ich das? -
Wenn du irgendwelche Dateien bei irgendwelchen durch bestimmte Parameter gesteuerten Ereignissen ausgibst, musst du auf jeden Fall sicher stellen, dass nur Dateien, die zur freien Einsicht bestimmt sind, ausgegeben werden können. Verhinderst du den Zugriff auf andere Dateien nicht, dann wird irgendjemand irgendwann mal auf die Idee kommen, deine Konfigurationsdateien ein zu lesen und dadurch Zugriff auf die von dir verwendeten Dienste (sei es eine Datenbank, ein FTP-Dienst, ein E-Mail-Dienst, oder was auch immer) erlangen.
Ganz böse ist auch immer ein liegen gelassener Weltexplorer oder eine liegen gelassene PHP-Info-Datei. Letzteres ist bei Lima zwar irrelevant, bei eigenen Servern kann es einem Angreifer aber wichtige Informationen liefern.
Und pass bitte auf, was du auf deinen Server lädst. Mir ist neulich etwas ganz ganz dummes passiert: Ich habe eine Anwendung geschrieben, die auf einem User-PC läuft und die Zugriffsdaten eines FTP-Accounts auf einem Server benötigt. Damit ich niemandem erklären muss, wie man eine Konfigurationsdatei öffnet, habe ich einfach eine Textdatei genommen und meine Zugriffsdaten zum Testen rein gepackt. Leichtsinnigerweise habe ich das ganze auf einen Webserver geladen (ich wollte es einem geben, der auch Zugriff auf den Server hat) und die Zugangsdaten nicht entfernt. Irgendjemand hat das heraus gefunden und Zugriff auf den FTP-Account erlangt. Glücklicherweise hat er nur die index.php mit einem Hinweis, dass er da war, versehen und die Zugangsdaten in der Textdatei zensiert.
Also: Gut aufpassen, dass man Zugangsdaten nur in nicht einsehbare Dateien legt, völlig unabhängig davon, ob man dem User dann eine seitenlange Anleitung schreiben muss, in der man erklärt, wie die Konfigurationsdatei mit allen möglichen Betriebssystemen zu öffnen ist. -
Wie kann ich den Zugriff verhindern? Muss ich da extra was machen? Oder wie meinst du das?
Auf meinem Webspace ist ja eine Datei wo die Daten drinnstehen, die ich ja brauche um mit der SQL Datenbank zu kommunizieren. Kommt jemand Irgendwie an die Datei? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage