✔ Sicherheit?

Prophet05

Erfahrenes Mitglied

• 25. März 2005

• #1

Hi,

Ich habe mit hilfe von PHP ein Login system erstellt das seine Daten in PHP dateien als Variablen speichert. Das system Funktioniert fehlerfrei ich würde jetzt gerne wissen wie es mit der sicherheit des ganzen aussieht. Man kann ja wenn man den genauen Pfad kennt auf die Speicherdateien zureifen aber man sieht ja eigentlich nicht weil der PHP Code in den Dateien nichts ausgibt sondern Variablen entält. Mir geht es jetzt darum ob man trotzdem auf diese weise die User daten herausfinden kann (ausser man häckt sich in den Server).

mfg Prophet05

 

C

Cocrane

Grünschnabel

• 25. März 2005

• #2

Eigentlich nicht, da der PHP-Code Serverseitig bearbeitet wird und nicht an die User gesendet wird.

 

Neurodeamon

Erfahrenes Mitglied

• 25. März 2005

• #3

Du kannst die Sicherheit auf jeden Fall erhöhen indem Du nicht die wirklichen Zugangsdaten, sondern z. B. nur die MD5-Hashes davon. Selbst wenn jemand die Passwortliste in die Hände bekommt hat er keine Möglichkeit ein Passwort daraus abzuleiten. Hier bliebe nur die Brute Force Methode und mit der kann es je nach Sicherheitsgrad des Passwortes viele, viele Jahre dauern so ein Passwort zu knacken (Entscheidend ist Länge, Zeichenwahl, etc.).

 

Prophet05

Erfahrenes Mitglied

• 25. März 2005

• #4

Hi,

Also gilt grundsätzlich solange man den server nicht knackt kann auch keiner auf die daten/variablen zugreifen?Und solange ist auch die sicherheit gewährleistet

mfg Prophet

 

C

Cocrane

Grünschnabel

• 25. März 2005

• #5

Vom Prinzip her Ja, aber man kann natürlich Passwörter (was ich auch immer mache) verschlüsseln, damit wirklich keiner Zigriff erlangen kann.

 

Neurodeamon

Erfahrenes Mitglied

• 25. März 2005

• #6

Prophet05 hat gesagt.:

Also gilt grundsätzlich solange man den server nicht knackt kann auch keiner auf die daten/variablen zugreifen?Und solange ist auch die sicherheit gewährleistet

Zum Vergrößern anklicken....

Nun, man muss den Server nicht unbedingt knacken. Ein nicht gut durchdachtes Script ermöglicht bereits Manipulation durch fremdem Quelltext (XSS) (fehlerhafte Includes, SQL-Injection, etc)

Aber der normale Surfer bekommt auf seinen Browser eh nur reine HTML-Daten und nicht die »Daten/Variablen« :suspekt:

 

Prophet05

Erfahrenes Mitglied

• 25. März 2005

• #7

Hi,

und wie macht man das? wenn dann würde ich das ganze gerne mit php realisieren. ich bräuchte dann einen ver und entschlüsselungs allgorhytmus. außerdem fällt mir ein das bringt wenn man server zugriff hat auch nichts mehr oder?

mfg Prophet05

 

Zuletzt bearbeitet: 26. März 2005

wischmopp90

Erfahrenes Mitglied

• 25. März 2005

• #8

Naja, wie kann man im iNet schon von Sicherheit Sprechen?

 

Prophet05

Erfahrenes Mitglied

• 25. März 2005

• #9

Hi,

Naja, wie kann man im iNet schon von Sicherheit Sprechen?

Zum Vergrößern anklicken....

da hast du natürlich recht aber man sollte doch zumindest versuchen ein bisschen ordnung ins chaos zu bringen oder

nochmal zur frage aus meiner letzten nachricht:

und wie macht man das? wenn dann würde ich das ganze gerne mit php realisieren. ich bräuchte dann einen ver und entschlüsselungs allgorhytmus. außerdem fällt mir ein das bringt wenn man server zugriff hat auch nichts mehr oder?

Zum Vergrößern anklicken....

mfg Prophet05

 

Zuletzt bearbeitet: 26. März 2005

SilentWarrior

Erfahrenes Mitglied

• 26. März 2005

• #10

Gegen fehlerhafte Includes hilft eine Fallunterscheidung statt eines simplen include($_GET['page'].'.inc.php'), gegen SQL-Injections hilft [phpf]mysql_escape_string[/phpf].