Sicher Scripten mit PHP!
- Themenstarter MC-René
- Beginndatum
TchiboMann
Erfahrenes Mitglied
ach, ich seh grad, stimmt, da iss ja kein derartiger sicherheitsfokus von dir... betrifft ja nur Formulare und Passwörter sicher speichern, ist mir zum Zeitpunkt meines Posts nicht so ganz im Sinn gewesen 
In deiner Gegenüberstellung im post vor mir wär sicherlich die bessere Wahl, die deckt zumindest SQL-Injects zuverlässig ab... Schützt aber eben nicht vor anderen gefahren ala XSS oder Flooding-Attacken. Deswegen meint ich sollt ma vll alle potentiellen Gefahren zusammen tragen, erklären wie man vorgehen kann bzw. sollte. Vielleicht. dafür nen neuen Sicherheitsfokus veröffentlichen *vorschlagmach*
(es sei denn sowas gibts hier schon, dann ist es natürlich hinfällig)
@Radhad
Naja, wenn ich mit meinem Loginsystem fertig bin überleg ich das als Opensource zur Verfügung zu stellen, werd ich mal schauen... Im Prinzip ist so ein eigenes Session-System nicht unbedingt schwer
In deiner Gegenüberstellung im post vor mir wär sicherlich die bessere Wahl, die deckt zumindest SQL-Injects zuverlässig ab... Schützt aber eben nicht vor anderen gefahren ala XSS oder Flooding-Attacken. Deswegen meint ich sollt ma vll alle potentiellen Gefahren zusammen tragen, erklären wie man vorgehen kann bzw. sollte. Vielleicht. dafür nen neuen Sicherheitsfokus veröffentlichen *vorschlagmach*
(es sei denn sowas gibts hier schon, dann ist es natürlich hinfällig)@Radhad
Naja, wenn ich mit meinem Loginsystem fertig bin überleg ich das als Opensource zur Verfügung zu stellen, werd ich mal schauen... Im Prinzip ist so ein eigenes Session-System nicht unbedingt schwer
Zuletzt bearbeitet:
Gumbo
Erfahrenes Mitglied
Ich bin gerade dabei zahlreiche Informationen über Sicherheitslücken in Webanwendungen zu sammeln, die ich dann auch – so gut es mir möglich ist – in bestimmten Kriterien (etwa Schadenspotenzial etc.) zu bewerten versuche. Und auch zu Sitzungen habe ich noch vor einen Sicherheitsfokus zu schreiben.
TchiboMann
Erfahrenes Mitglied
Das ist cool, wenns fertig ist und/oder ich dir helfen kann, sag bescheid
Radhad
Erfahrenes Mitglied
@Radhad
Naja, wenn ich mit meinem Loginsystem fertig bin überleg ich das als Opensource zur Verfügung zu stellen, werd ich mal schauen... Im Prinzip ist so ein eigenes Session-System nicht unbedingt schwer
Das wäre nicht schlecht, ich entwickel derzeit auch ein paar "Core"-Klassen (hab noch keinen Namen), welche Basis-Funktionalitäten bereit stellen sollen. Diese werde ich auch als Open Source anbieten unter der GPL oder LGPL. Ich will nur mal sehen, wie man so etwas grob aufbaut, denn wenn Cookies nicht erlaubt werden muss man das ja an die URL anhängen, wie man das prüft etc.
Einen eigenen Hash zu verwenden stellt ja kein Problem dar. Ich würde so gesehen 2 Sessions gleiczeitig nutzen (PHP & eigene) und die PHP-Session-Vars nutzen. So stell ich mir das zumindest vor. Evtl. sollten wir das in einem eigenen Thread diskutieren? Oder per ICQ / E-Mail? Kannst mir ja eine "Private Message" schicken bei Interesse.
Gruß Radhad
TchiboMann
Erfahrenes Mitglied
Ja, PHP Session und eigene Session nutze ich auch. Bis jetzt hab ich zwar eine funktionierende Version, aber nicht als Klasse. Das soll erst mit v2 kommen, an der ich bald sitze, die wird auch noch viel spezieller funktionieren.
Ich persönlich setze übrigends ausschliesslich auf Cookies, Sessiondaten in der Url sind fatal, denn meine User sind entweder zu blöd die Session aus der Url zu löschen, wenn sie was tolles finden und das verlinken wollen, oder sie wissen nicht, wozu der URL-Parameter PHPSESSID= ist... mir ist das zu gefährlich, da ich mich selbst schon simpel mit dem Parameter einloggen konnt^^ Wer heut noch Angst vor Cookies hat ist Fehl im Internet.
Ich persönlich setze übrigends ausschliesslich auf Cookies, Sessiondaten in der Url sind fatal, denn meine User sind entweder zu blöd die Session aus der Url zu löschen, wenn sie was tolles finden und das verlinken wollen, oder sie wissen nicht, wozu der URL-Parameter PHPSESSID= ist... mir ist das zu gefährlich, da ich mich selbst schon simpel mit dem Parameter einloggen konnt^^ Wer heut noch Angst vor Cookies hat ist Fehl im Internet.
TchiboMann
Erfahrenes Mitglied
Yo, ich sperr solche User aus, die haben dann ebend Pech jehabd. Man kann schliesslich auch für einzelne Seiten Cookies zulassen, dann sollnse das ebend machen oder sein lassen natürlich gibts auch (zumindest in der neuen Version) einen Hinweis, falls ein Cookie nicht gesetzt werden kann, dass er gefälligst Cookies für die seite aktivieren soll
natürlich gibts auch (zumindest in der neuen Version) einen Hinweis, falls ein Cookie nicht gesetzt werden kann, dass er gefälligst Cookies für die seite aktivieren soll Also Cookie kann man genau so leicht von anderen überhehmen daher find ich es unsinnig das ganze nur auf cookie zu beschränken.
Übring wenn eine Seite vernüftig Programmiert ist es egal ob jemand die Session id per get mit postet und jemand anderes sie aufruft.Deswegen kommt er auch net rein. Auser die Seite wurd von einen nob. geschrieben dann ist das durchaus möglich sich nur mit der Session id einzulogen.
Aber die meisten Prüfen die Session und sobald ein anderer User auf die Session zugreift wird man ausgelogt.
@Tom...
Wenn man also auf deine Seite geht kann man sich mit cookie andere einlogen.Sorry aber das ist überhaupt nicht sicher.
Mfg Splasch
Übring wenn eine Seite vernüftig Programmiert ist es egal ob jemand die Session id per get mit postet und jemand anderes sie aufruft.Deswegen kommt er auch net rein. Auser die Seite wurd von einen nob. geschrieben dann ist das durchaus möglich sich nur mit der Session id einzulogen.
Aber die meisten Prüfen die Session und sobald ein anderer User auf die Session zugreift wird man ausgelogt.
@Tom...
Wenn man also auf deine Seite geht kann man sich mit cookie andere einlogen.Sorry aber das ist überhaupt nicht sicher.
Mfg Splasch
Zuletzt bearbeitet:
Neue Beiträge
-
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
