Webserver schuetzen

[son gohan]

Hallo,

ich habe ein Programm gebaut das mit PHP und Mysql funktioniert und wurde jetzt von jemand gefragt wie der Webserver geschuetzt wird.

Ich habe im Moment noch kein Schutz und er hat gefragt ob der Webserver vielleicht durch eine .htaccess geschuetzt wird oder ob die PHP-Dateien verschlüsselt sind oder ob ein DDL-Schutz lokal beim User vorliegt. Ich kenne keine einzige Schutvariante von denen und wollte euch mal gerne fragen ob jemand sowas kennt und welche davon am besten oder einfachsten zu machen ist?

 

[saftmeister]

Hmm, verabschiede dich von "einfachen" Schutzmechanismen, denn die taugen nichts.

1. .htaccess macht dann Sinn, wenn du eine Authentifizierung für bestimmte/alle Dateien im Web-Ordner erzwingen willst. Wenn du eine andere Art der Authentifizierung implementiert hast, macht htaccess IMHO keinen Sinn. Du könntest mit htaccess natürlich auch den Zugriff auf bestimmte IP-Adressen einschränken, das ist aber insofern problematisch, da bei DSL bzw. heutzutage keine Fest-IP's bei Dial-Up-Verbindungen möglich sind. Daher auch dieses untauglich.

2. Man kann PHP-Dateien tatsächlich verschlüsseln. Dazu kannst du z.B. den Zend Guard(kommerziell / http://www.zend.com/en/products/guard/), ionCube (kommerziell / http://www.ioncube.com/php_encoder.php), sourceguardian (kommerziell / http://www.sourceguardian.com/index.html), phpShield (kommerziell / http://www.phpshield.com/) und diverse andere (siehe http://www.selfphp.de/forum/showthread.php?t=15978) verwenden. Die meisten davon kosten Geld.

3. DDL (im Sinne von Direct-DownLoad?)-Schutz bedeutet, du bietest Dateien zum Download an, aber die sind nicht über ein URL direkt erreichbar sondern nur über ein Download-Script, was die Authorisierung (z.B. nur durch Eingabe eines Captcha oder dergleichen) steuert. Der Fantasie sind hier keine Grenzen gesetzt, man keine seine User gern mit 10 Abfragen gängeln um einen DDL zu verhindern. Dadurch verhindert man den Download aber vielleicht komplett.


Viel interessanter finde ich, wie sicher das PHP-Programm selbst ist, was du geschrieben hast. Nichts für ungut, aber wenn dir die Schutzmechanismen nichts sagen, wie sieht es mit Security im Rest des Umfeldes aus? Gibt es evtl. Möglichkeiten über das PHP-Script selbst Dinge zu tun, auf die der Programmierer nicht vorbereitet ist/war?

Der Fragesteller hat dir ein paar nette Begriffe um die Ohren geknallt ohne sich selbst mit der Materie auseinander zu setzen oder er hat Kenntnisse über dein Programm, die du hier verschwiegen hast. Ohne mehr Input bezüglich der Natur deiner Applikation kann man jedenfalls IMO nichts intelligentes dazu besteuern.

 

[son gohan]

Hi,

danke fuer die vielen Tipps.

Mein Programm funktioniert so, mit einem HTML Formular werden Daten in eine Mysql Datenbank geschrieben und ein anderes Programm das auch die Daten aus der Datenbank lest wird so geusteuert.

Der jenige der das Programm hat benutzt es eigentlich nur fuer sich selbst und brauch die URL nicht weiter zu geben, aber vielleicht wird die Seite ja zufaellig von Suchmaschinen gefunden und dann koennten fremde einfach das Formlar benutzen und mein Programm steuern.

Vielleicht ist dann am besten sowas wie PHP Session mit Login zu bauen damit nicht jeder drauf zugreifen kann oder ?

 

[sheel]

Ja, genau, ein Login.
Und das mit den Suchmaschinen kann man auch leicht verhindern: robots.txt

 

[saftmeister]

Also fehlt bei dir derzeit jegliche Authorisierung/Authentifizierung? Das meinte der Fragensteller also mit htaccess-Schutz. Natürlich kannst du ein Login einbauen, evtl. sogar in Kombination mit der Basic-Auth, die normalerweise mit htaccess gemacht wird. PHP kann HTTP-Header senden und damit eine Basic-Auth erzwingen. Nach der Eingabe kannst du dann Benutzernamen und Passwort mit Daten in der DB vergleichen und Session entsprechend setzen.

Wie man das macht, kannst du hier nachlesen: http://php.net/manual/de/features.http-auth.php

Das hat den Vorteil, dass auch eine Suchmaschine nicht an die Inhalte kommt, weil Robots an der Basic-Auth nicht vorbei kommen. Das Pflegen der robots.txt hat insofern Nachteile, weil ein Crawler das ignorieren kann (mit genügend krimineller Energie wird der Crawler das auch tun).

 

[son gohan]

Danke fuer die Tipps.
Ich weis noch nicht genau was der Fragensteller meine mit Webserver Schutz, aber ich denke ein Login sollte ich nun doch auch bei meinem Programm mit einbauen. So ein Login ist ja doch noetig damit nicht jeder das webformular steuern kann. Aber ich weis noch nicht was das mit Webserver Schutz zu tun haben soll, da muss ich noch mit dem Fragensteller etwas mehr diskutieren um heraus zu bekommen was er meinte.