Sicherheit bei Formularen

[RealBluescreen]

Hallo Leute!
benötige Informationen zur Sicherheit beim Versenden on POST-Formularen. Wie kann man diese Daten Abfangen? ist so etwas warscheinlich?

Es geht nämlich um eine Art 'Online-Shop', bei der unsere Schule im Internet Artikel anbieten möchte.
Wenn man dort also seine Kontodaten eingibt, ist es dann möglich dass sie jemand abfängt?

 

[bensky]

Ich denke mal, ganz klares JA, abfangen geht immer, was man dann mit den werten anfangen kann ist ne andere Sache. Wenne se mit SSL überträgst ist's schon ziemlich sicher

 

[RealBluescreen]

Tja, aber wie geht das? Das kostet mich doch Geld, oder?
Ich meine, da müsste ich dann einen Dienst von einer Firma benutzen, oder krieg ich das auch umsonst, Freeware?

 

[bensky]

Musst nur nen günstigen Hoster finden der SSL hat. Aber ansonsten kannste die daten auch mit nem einfachen $GET['$BLZ']; übertragen, was soll schon passieren wenn einem anderen die kontodaten in die hände kommen, dazu hat er ja keine Einzugsermächtigung !

 

[Headymaster]

Ach damit kann man sehr viel machen....es werden zum Beispiel Kreditkarten beantragt, aba dies geht nur indem man weiß wo derjenige, dem das Konto gehört wohn, und Post abfängt usw..... naja also über $_POST würd ich sowas nie übrgeben....

MFG Niels

 

[RealBluescreen]

Ist [GET] in diesem Fall wirklich sicherer?

Nun, das ganze ist für meine Schule. Ich weiß noch nicht, ob wir für die Homepage Webspace gemietet haben,
oder ob sie auf unserem Hauseigenen Server schlummern.

Wie ist es den mit PHP? Wie lässt sich das auf einen Server installieren?
Ich hab auf dem Gebiet so gut wie keine Ahnung, ich kann nur coden.

Ach ja; wie funktioniert das denn so grob mit dem Abfangen? Kennt ihr ne Website die darüber informiert? Werd mal Googlen gehen...

 

[bensky]

Ich meinte auch GET nicht DHL. Aber am besten nimmste Sessions und speicherst den kram in ne sqlDB

 

[RealBluescreen]

Ich meinte auch GET nicht DHL.

DhL?

Aber am besten nimmste Sessions [...]

Nun gut, aber um die Daten in Sessisons zu speichern müsste doch erstmal ein Formular verschickt werden?

und speicherst den kram in ne sqlDB

SQL DB? Wie z.B. MySQL?
Nun, ich weiß noch nicht, ob wir da MySQL haben. Mal sehen.

 

[ezias]

Wie schon gesagt wurde ist das abfangen von Daten über ein Formular mit Sicherheit (das Wort hört sich nett im Zusammenhang mit dem Thema an) möglich.
Die Fragen die du dir stellen musst ist inwiefern brauchst du Daten wie Kontoverbindungen von den Usern überhaupt (möchtest du dem User ermöglichen das er dir eine Einzugsermächtigung gibt?).
PHP selber wird dir die Möglichkeit nicht geben Daten vor dem Abschicken zu verschlüsseln da sie ja erstmal zum Server geschickt werden müssen und erst wenn sie da angekommen sind ist es möglich die Daten mit PHP weiter zu verarbeiten. Also müssen die Daten schon davor "verschlüsselt" bzw der User muss mit dem Server über eine "Sichere" Verbindung kommunizieren.
Wenn ihr aber nen eigenen Server habt dann muss es doch Mittel und Wege geben SSL bzw PHP zu installieren. Google hilft dir mit dem Stichwort SSL bestimmt weiter.

 

[RealBluescreen]

Gut, ich werd mich mal umschauen.