Datei per PHP auf anderem Server ausführen

[Dennis Wronka]

Nein, das Passwort wird nicht gehasht uebertragen.
Da hat Deine Kompanie wohl etwas vergessen zu erwaehnen.
Fernmelder?

Fuer jede Verschluesselung gibt es Hacks, und auch MD5 kannst Du mit etwas Aufwand knacken. Einfach Bruteforce-Woerterbuch-Attacke. Dauert auch eine Zeit, aber geht unter Umstaenden schneller als einen 1024-Bit-Schluessel zu knacken.
Immerhin entsprechen bei einem Hash mehrere Strings dem selben Hashwert, das laesst sich beim Hash nunmal nicht vermeiden.

Daher, wie gesagt, wenn es um wichtige Daten geht ist wohl SSL/TLS die bessere Wahl, da damit der Verkehr verschluesselt wird.
Wenn es darum geht zwischen Firmenstandorten Daten sicher zu uebertragen ist wohl ein VPN mit einem 2048-Bit-Schluessel (oder gar mehr) als hinreichend sicher zu betrachten.
Aber was nuetzt alle Verschluesselung wenn der Server selbst unsicher ist?
Sicherheit liegt halt nicht nur auf der Uebertragungsstrecke, fuer welches im Internet in der Regel SSL/TLS genutzt wird und durchaus auch hinreichend sicher ist.
Nur an den Endstellen muss auch was fuer die Sicherheit getan werden. Denn wem nuetzt eine Uebertragung des Passwortes mit 1024-Bit-Schluessel wenn z.B. ein veralteter FTP-Server aufgrund von Sicherheitsluecken root-Zugriff gewaehrt.

Offensichtlich hast Du beim Bund nicht die notwendige Disziplin gelernt um Dich einigermassen anstaendig zu unterhalten, Deinem letzten Satz nach zu schliessen.
Wir legen hier Wert auf korrekte Rechtschreibung und auch die Einhaltung der guten, alten Gross- und Kleinschreibung.
Wir wollen ja den Qualitaetsstandard von tutorials.de aufrecht erhalten.

 

[tha_specializt]

aha, meine gross/kleinschreibung defniert also direkt meine disziplin beim bund damals... is klar.... Kennst du das Wort Ironie? Anscheinend nicht, versuch mal, die Worte des gegnübers genauer zu untersuchen, anstatt gleich meine Ehre als (ex) Soldat anzugreifen, ich hab echt besseres zu tun, als mir von nem Zivillisten vorschreiben zu lassen, ob und wann ich gut/nicht gut war/bin. Informationen über meine Einheit darf ich dir nur geben, wenn du einen Sicherhheitsstatus vorweisen kannst, hierfür ist mindestens Stufe 2 erforderlich. Ich würde dann einen Dienstnachweis, eine Kopie des Nachweises der Erteilung deiner Klassifizierung, und eventuelle Ansprechpartner beim MAD benötigen (die müssten auf dem Formular von damals mit drauf stehen) Darf ich mal fragen wo DU gedient hast? Scheint ja nicht gerade die Elite-Einheit schlechthin gewesen zu sein, wenn du andere Menschen aufgrund ihrer Gross/-Kleinschreibung beurteilst, und dann noch glaubst, anderen die SoldatenEhre streitig machen zu können, bei sowas bin ich empfindlich! Patriotismus? Schonmal vernommen? Es soll nämlich auch Soldaten geben, die das ganze aus gewissen Gründen machen, nicht nur weil sie es müssen... Schön dass man in diesem Forum gleich am Anfang direkt so angegriffen wird, das lässt doch stark an den vorhandenen Kompetenzen zweifeln. Auch, und noch einer: HTACCESS wurde beim Bund kein einziges mal erwähnt, das hab ich mir vor kurzem selbst angeeignet.

 

[Dennis Wronka]

Dir hat irgendwie der Bund das Hirn zermatscht, oder?
Und was heisst hier Zivilist?
Ich hab ein Jahr lang beim groessten Trachtenverein der Bundesrepublik verbracht.
Davon 3 Monate freiwillig, was aber nichts mit Patriotismus zu tun hat.
Ich war auch nicht da weil ich musste, ich haette durchaus auch Zivi machen koennen, aber ich dachte mir ich schau mir den Spass mal an.
Und hoer mir bitte mit Sicherheitsstatus und dem ganzen Quatsch auf, ich war im Geschaeftszimmer hauptsaechlich fuer die Post zustaendig, da kam mir genug "sicherheitsrelevantes" Zeug in die Finger.

Falls Du es denn unbedingt wissen musst: Ich habe im Fernmeldebataillions 820 in Duesseldorf meine Zeit verbracht. Natuerlich keine Spezialisten auf dem Gebiet Computer, aber dafuer hatten die ja mich.
Das mit der Gross- und Kleinschreibung habe ich Dir erklaert, das liegt einfach daran, dass wir hier im Forum darauf Wert legen. Siehe Netiquette, Punkt 12.
Und auch Ironie ist mir ein Begriff. Jedoch scheinst Du meinen etwas bissigen Kommentar gleich in den falschen Hals bekommen zu haben da Du Dich ja gleich in Deiner "Ehre" als Soldat verletzt siehst.

Also, sei nicht so angepisst nur weil ich Dich darauf hinweise, dass wir hier auf korrekte Gross- und Kleinschreibung Wert legen und komm Dir nicht so gross vor als Soldat. Wahrscheinlich Neckermann-StUffz, was?
Und auch mit Deinem Wissen in Sachen Sicherheit brauchst Du hier nicht so viel Schaum schlagen. Nur weil Du mal was gelesen/gehoert hast, dass SSL geknackt werden kann heisst das noch lange nicht, dass es unsicher ist.
Ich hab mich selbst lange genug mit Verschluesselung und Sicherheit auseinandergesetzt, und glaub mir, ich weiss wovon ich da rede.
Die beiden Links in meiner Signatur sind nur 2 der Websites die ich jeden Tag aufsuche um in dieser Hinsicht auf dem aktuellen Stand zu sein.

 

[Mairhofer]

@tha_specializt
Bitte für das Auge schon etwas strukturierter schreiben, ich hatte wenig schlaf

Könnten wir vielleicht wieder zum Thema zurückkommen?
Mich interessiert die Frage hier auch gerade.

Ich hab mal bei einem Serververwaltungsscript gesehen, das dort aktionen auf einem remoteserver in einem Script per lynx iniitialisert werden. Per GET wurden die ganzen Informationen im Klartext übertragen (was in dem Fall auch z.B. Kundendaten waren), was mir einen tiefern Schauder über den Rücken laufen ließ.

Hatte mir dann selber eine Alternative Methode überlegt, das ganze per Mail zu lösen, was auch ist. Es gab Zeitverzug etc, da man ja nicht alle 5 Sekunden nachschauen sollte, ob eine neue Mail und damit eine neue Handlung(Aktion) vorliegt.
Der nächste Schritt wäre dann gewesen, einen eigenen Daemon zu installieren auf beiden Kisten, die auf einem bestimmten Port ála VPN miteinander kommunizieren.
Ich habs das ganze mittlerweile gelöscht, ich weiss nicht was mich da geritten hat.

Wenn man etwas per URL initialiseren will, dann muss die URL sicher sein.
Bedeutet schon, das man den Aufruf von der Datei auf dem Remoteserver durch HTACCESS schützt. Sprich User und Passwort und dann noch eine ...
ALLOW ip
DENY ALL
...Geschichte.
Aber auch das wäre mir nicht sicher genug.
Die URL, bzw die Get params müssten verschlüsselt sein.
In diesem Fall hier, das ein Server neugestartet werden muss (sprich Reboot GameServer Ja oder Nein) ist es ja nicht das Problem. Möchte man aber andere Daten, wie Kundendaten o.ä. übertragen, bringen Hash Werte nichts mehr.

Da es hier aber um GameServer geht, würde ich sagen, das der Hash Wert aus einem Konstrukt sein muss, das einmalig ist.

So wäre ein Aufruf der URL
https://user:name@www.seite.de/rebootgameserver=checksum=29zhd9293rhd92qdh

die Checksum in dem Fall, sollte dann auch folgenden Inhalten bestehen
REBOOT JA/NEIN - geheimesPasswort - aktuelle Stunde
also
md5('ja-PASSWORT-'.date('H', time()));
Wenn der RemoteServer nun per $_GET['checksum'] was erhält, könnte er prüfen

IF(md5('ja-PASSWORT-'.date('H', time()) = $_GET['checksum'])
// Reboot GameServer

Problem finde ich hierbei nur wieder, wenn nun mehrere GameServer auf dem Server laufen.
Dann müsste man noch ein argument in die Checksumme einbauen, welche den speziellen Gameserver (auf dem Server) definiert und die If-Abfragen solange durchführt, bis er den richtigen gefunden hat.
Falls kein MD5 mit dem $_GET Param übereinstimmt, dann will hier wohl einer was hacken und es sollte ne Mail oder nen Log eintrag fürn Admin geben.

Wäre froh, wenn hier jemand eine sehr gute Idee zu dem THema hat, wo zum Beispiel nicht nur ein Ja/nein auf dem anderen RemoteServer ankommen muss, sondern zum Beispiel einen kompletten Kundendatensatz. (vllt nen Tutorial?)

Gruss

 

[tha_specializt]

Dir hat irgendwie der Bund das Hirn zermatscht, oder?

genauuuu! Deinen immernoch auftretenden Verbalen Ergüssen zu urteilen bist du entweder nicht besonders alt, oder irgendwie.... weiss nich; zurückgeblieben?

Und was heisst hier Zivilist?

Öhm.... Man Nehme einen Duden her, schlage dort unter "Z" auf, und erblicke das sagenunmwobene Wort in seiner genauen Definition

Wahrscheinlich Neckermann-StUffz, was?

nö, und auch kein 5-pfennig-hakenschläger, erstrecht kein Notensternchen. Dienstgrade waren bei mir erstmal unwichtig... denke, dass das auch der Grund für meine Einsetzung war --> Einen StuffZ kann man manche sachen garned machen lassen, einen HG (fast SG geworden) kannste praktisch alles heissen, der holt sogar mal Post wenns sein muss...wenn grad der OG ned da is . Und ich bin auch froh drum, ned mehr geworden zu sein, als Schulterhufe hat man bei uns ziemlich den Anus aufgerissen gekricht, ständig irgendwo ne Disziplinarmaßnahme, nur weil StUffz XY vergessen hat dies und das zu erledigen, da hatt ich kein Bock drauf, mit dem Hptm, dem OTL, dem O, dem FtlKptn und abundzu dem goldenen Männchen wars viel lustiger als in der normalen Einheit . --> Besonders wenn der Hptm wieder mit seinen Frauengeschichten ankam, wurde es spannend

Und auch mit Deinem Wissen in Sachen Sicherheit brauchst Du hier nicht so viel Schaum schlagen.

tu ich das? Glaub eher nicht.... Hab ich damit angegeben? Nö. Ich wollts nur mal ausgedrückt haben, dass mir da so EIN ODER ZWEI sachen an die ohren gekommen sind. DU prahlst hier grade mächtig rum, ned ich. Hmmmm, wenn du so brutalst viel "Sicherheitssachen" gesehen hast wieso schickst mir dann ned einfach deine Klassifizierung? Ach? Hammakeine? Hammagesichtzu? ooooooooooo. Ruhebox? Eule lässt ma schön grüssen AGANautchen...
Naja ich lass ma lieber stecken jetz, tu dir selbst einen Gefallen, und hilf dem da oben und lass mich in Ruhe. Besser is das für die Umwelt und meine Lachmuskeln

 

[Dennis Wronka]

Schau mal in mein Profil, dann kannst Du Dir sicher erklaeren warum ich jetzt gerade keinen wirklichen Zugriff auf irgendwelche Unterlagen von diesem Tralala-Verein habe.
Ich hab nichtmal wirklichen Ueberblick darueber, weil es fuer mich ca. so viel Wert wie Toilettenpapier hat, jedoch weniger Nutzen.

Lass uns die ganze Sache einfach mal im Sinne des Forums vergessen.
Ich hab keine Lust hier gross rumzudiskutieren. 1. hat das nicht viel Sinn, 2. meinst Du ja eh ich waere zurueckgeblieben. Ich weiss dass dem nicht so ist, und interessiert mich ungefaehr so viel wie die Politik Zimbabwes. Und um auch noch 3. anzufuehren: Ich diskutier einfach wesentlich lieber wenn ich jemandem meine direkt in's Gesicht sagen kann, und nicht hier, wo man ja schoen in Sicherheit alles sagen kann was man denn will.

Du fragst mich danach wo ich gedient hab, besitzt aber selbst nicht den Anstand damit rauszuruecken.

 

[tha_specializt]

Du fragst mich danach wo ich gedient hab, besitzt aber selbst nicht den Anstand damit rauszuruecken.

MilSich, Lektion 1) "Der Soldat im einzelnen ist verpflichtet, Informationen über die Bundeswehr, deren Mitglieder, Beauftragte, Standorte und Ausrüstung auch nach seiner Entlassung geheim zu halten. Im Falle von sicherheitsrelevanter Informationsausgabe an ehemalige Soldaten, ist eine entsprechende Sicherheitsprüfung durchzuführen, die den genehmigten Erhalt des Materials bestätigen. Zuwiederhandlung wird strafrechtlich verfolgt und kann mit bis zu 10 Jahren Haft bestraft werden, in besonderen Fällen ist eine Klassifizierung als "Hochverrat" möglich, und eine Haft von mehr als 10 Jahren nicht ausgeschlossen."

--> Du glaubst doch nicht ernsthaft, dass das ein Mädchenverein ist, bei dem nur Deppen rumlaufen, die nix können etc? Wenn Ja: Was glaubst du, warum der deutschen Armee gewisse Beschränkungen auferliegen? Um uns zu ärgern?

 

[Dennis Wronka]

Die Standorte der Bundeswehr sind auch sooooo geheim.
Ich denke Du warst ein wirklich guter Soldat. Wenn's eine Anweisung gab hast Du sie ohne darueber nachzudenken ausgefuehrt. Ob das nun Sinn macht oder nicht.

Nein, ich glaube nicht, dass die Bundeswehr ein Maedchenverein ist bei dem Deppen rumlaufen.
Aber ich glaube, dass die Bundeswehr ein lustiger Tralala-Verein mit einer ueberdurchschnittlichen Konzentration an waffengeilen Versagern ist.

Und diese Beschraenkungen gibt es sicher nicht weil wir eine so tolle Hardcore-Truppe haben die's voll drauf hat und jede andere Armee ohne Probleme in die Tasche stecken koennte.

 

[Jörg Rißmann]

(...)Aber ich glaube, dass die Bundeswehr ein lustiger Tralala-Verein mit einer ueberdurchschnittlichen Konzentration an waffengeilen Versagern ist.(...)

Kann ich nicht bestätigen, sorry.

-GEDANKENPAUSE-

Wir haben einfach nur 1,5 Jahre durchgesoffen.
Zu Manöwern wurden wir wegen Trunkenheit nicht zugelassen, weil der Spieß, der, der am vollsten war, keine Aufsicht halten durfte.....
;-)

 

[Dennis Wronka]

Ich sag ja auch nicht ausschliesslich.
Hab selbst einige anstaendige Leute beim Bund kennengelernt.
Und mein Spiess war auch gnadenlos gut, genau wie mein KpChef.

Trotzdem war's schon traurig zu sehen wie viele da hingehen und es kaum erwarten koennen das G36 zu bekommen.

Ich fand das Jahr lustig, als GeZi-Soldat (das boese Sch-Wort darf ich ja hier nicht nutzen ) ist es sowieso laessig. Die Leute sind in der Regel freundlich zu einem und wenn nicht ist die Bearbeitung mal was langsamer.
Wir hatten z.B. regelmaessig Fruehstueck im GeZi, mit Spiess, Chef und KpTruppfuehrer.
In der Zeit war dann eben nicht viel los im Gezi, ausser es kam halt mal jemand wirklich wichtiges.
Aber selbst Leute aus anderen Kompanien, auch Feldwebel und Leutnants, sind zum Teil mit dem Kommentar "ich komm dann spaeter wieder" einfach wieder rueckwaerts zur Tuer raus.