Woher stammen Post oder GET Variablen? - Seite 2

Capfly · 16.12.2011, 21:37

Zitat:

Zitat von Dark Guardian

Die Server können mit einer gewöhnlichen PHP basierten Authentifizierung zusammen arbeiten.

Das ist aber eigentlich noch nicht einmal nötig. Wenn ausschließlich die beiden Server miteinander kommunizieren, ist eine Authentifizierung via HTTP Auth ausreichend. Entsprechende Allow, Deny Direktiven für die IPs setzen und fertig.

Was ist mit Vortäuschung der IP-Adresse?

Dark Guardian · 17.12.2011, 00:37

Zitat:

Zitat von Capfly

Was ist mit Vortäuschung der IP-Adresse?

Dann steht der "Hacker" nach wie vor vor dem HTTP Loginverfahren.

Ich kann mir allerdings nicht vorstellen wie ein "vortäuschen" funktionieren soll. Die Pakete der HTTP Anfrage an Server B müssten die IP Adresse von Server A als Quelladresse enthalten, dementsprechend müsste der Server B an diese IP antworten, womit die Antwort bei Server A landen würde.

Klär mich ein findiger "Hacker" auf aber eine öffentliche IP doppelt zu belegen dürfte nicht zuverlässig funktionieren.

WAY_KOW · 17.12.2011, 10:34

Hallo

Es gibt ja noch ein Problem

Natürlich darf nur ein fremder Server zugreifen.
Aber "menschliche" Clients sollten natürlich auch zugreifen dürfen.
Auch diese treffen eine Auswahl auf dem Server die natürlich per Get oder Post übergeben werden muss.

Daher müssen GET und POST sowohl vom eigenen Server wie auch von einem bestimmten fremden Server mit fixer IP-Adresse möglich sein.

fab · 17.12.2011, 11:05

Zitat:

Zitat von WAY_KOW

Natürlich darf nur ein fremder Server zugreifen.
Aber "menschliche" Clients sollten natürlich auch zugreifen dürfen.

Das ist nicht "natürlich" sondern widerspricht sich. Du kannst nicht zuverlässig unterscheiden ob der Zugriff von einem Mensch oder einer Maschine gemacht wird. Was genau willst du eigentlich verhindern?

rudygotya · 17.12.2011, 11:17

Wieso bietest du nicht einfach 2 Schnittstellen an? Eine für den Server, eine für die Clients.

WAY_KOW · 17.12.2011, 12:04

Ich will verhindern das Angriffe von außen kommen - versteht sich doch.

Get und Post sind generell unsicher aber kein Script kann darauf verzichten.

Ich will denach erreichen, dass alle GET und POST nur von meinem Server herstammen und von einem anderen Server mit einer fester IP

Also sozusagen

if (NOT Client AND NOT Server X) ERROR

fab · 17.12.2011, 12:15

Was denn jetzt, von deinem Server oder von Clients?

Zitat:

Zitat von WAY_KOW

Ich will denach erreichen, dass alle GET und POST nur von meinem Server herstammen und von einem anderen Server mit einer fester IP

Hier beschreibst du ein Intranet

Zitat:

Zitat von WAY_KOW

if (NOT Client AND NOT Server X) ERROR

Und hier etwas was es nicht gibt. Wenn Server X auf Server Y zugreift, ist er in dem Moment genauso ein Client wie dein Browser oder Server Z.

Zitat:

Zitat von WAY_KOW

Ich will verhindern das Angriffe von außen kommen - versteht sich doch.

Get und Post sind generell unsicher aber kein Script kann darauf verzichten.

Es scheint mir so als ob du aus einem diffusen Unsicherheitsgefühl heraus irgendetwas dicht machen willst. Was Angriffsvektoren über $_GET und $_POST betrifft, konzentriere dich darauf dass deine Skripte alle eingehenden Daten ordentlich validieren und an den relevanten Stellen passend escapen.

Vielleicht willst du aber auch tatsächlich etwas anderes (wie wir bisher angenommen hatten), dann hast du aber nicht geschafft, es verständlich rüberzubringen. Der Thread ist ein einziges Ratespiel...

tr0y · 17.12.2011, 21:25

Server to Server -> IP Tunnel ( VPN ) -> Eigener IP-Bereich ( 10.x.x.x ) restriktiv per Apache sichern -> Server API
Client to Server -> Global -> Alle IPs -> Client API / Website

Fettisch.

achtelpetit · 17.12.2011, 22:21

Warum googelst Du nicht einfach mal "IP-Adresse vortäuschen"? Da gibt es einige Aufklärung und einige Rezepte.

lstegelitz · 18.12.2011, 13:19

Zitat:

Zitat von WAY_KOW

Ich will verhindern das Angriffe von außen kommen - versteht sich doch.

Es ist nicht verhinderbar, das die Angriffe kommen, man kann sich nur dagegen wehren. Einziger Weg der Verhinderung wäre, den Server nicht (von extern) erreichbar zu machen oder das Netzwerkkabel rauszuziehen, dann stünde er allerdings isoliert da und wäre ziemlich nutzlos.
Ansonste siehe Vorschlag tr0y.

Zitat:

Zitat von tr0y

IP Tunnel ( VPN )

Das würde die Angriffsfläche schon erheblich reduzieren...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Problem mit POST über mehrere Seiten bei Variablen mit Abstand!	Rodolfo	PHP Einsteiger	3	08.01.2011 00:09
Server verschluckt POST Variablen, wenn diese nicht ausgegeben werden	explode	PHP Tipps 2010	8	24.10.2010 15:42
Klasse statt globaler Variablen	ecomeback	PHP-Fortgeschrittene	6	15.07.2008 16:30
Übergeben von Variablen an in PHP eingebundenes Perl-Script	shredder01	PHP Tipps 2008	3	04.04.2008 09:25
mehre variablen per post übersenden	obi	HTML, Usability und Barrierefreiheit	5	19.07.2007 23:03
Teil einer Variablen mit einer Variablen ersetzen ?	simsalabim	PHP Tipps 2007	11	20.03.2007 20:36
POST Variablen vortäschen	R4v3r	PHP Tipps 2007	8	22.12.2006 16:51
Alle Variablen die mit POST übergeben wurden auflisten	d-81	PHP Tipps 2006	3	12.10.2006 15:23
Variablen werden per post nicht übergeben	sinai	PHP Tipps 2005-2	9	12.08.2005 10:04
5 gleiche Post Variablen auffangen	Ypsillon	PHP Tipps 2005	3	11.05.2005 11:25
[Erledigt] Post Variablen absichern		PHP-Fortgeschrittene	10	20.04.2005 13:25
Variablen übergeben bzw. auslesen?		PHP Tipps 2005	4	30.01.2005 03:56
Linux Drucker unter Windows	tennessee	Server, Hosting und Workstations	10	16.12.2004 17:14
Variablen via POST	Skazi	PHP Tipps 2004-2	10	06.11.2004 17:31


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

17.12.2011, 10:34
WAY_KOW Benutzer Registriert seit: 09.02.2009 Beiträge: 78	Hallo Es gibt ja noch ein Problem Natürlich darf nur ein fremder Server zugreifen. Aber "menschliche" Clients sollten natürlich auch zugreifen dürfen. Auch diese treffen eine Auswahl auf dem Server die natürlich per Get oder Post übergeben werden muss. Daher müssen GET und POST sowohl vom eigenen Server wie auch von einem bestimmten fremden Server mit fixer IP-Adresse möglich sein.

17.12.2011, 11:17
rudygotya Erfahrener Benutzer Registriert seit: 28.05.2008 Beiträge: 2.094 PHP-Kenntnisse: Fortgeschritten	Wieso bietest du nicht einfach 2 Schnittstellen an? Eine für den Server, eine für die Clients. __________________ ++++ Wieder einer ins Netz gegangen: Phishers Fritz zufrieden ++++ Blog

17.12.2011, 12:04
WAY_KOW Benutzer Registriert seit: 09.02.2009 Beiträge: 78	Ich will verhindern das Angriffe von außen kommen - versteht sich doch. Get und Post sind generell unsicher aber kein Script kann darauf verzichten. Ich will denach erreichen, dass alle GET und POST nur von meinem Server herstammen und von einem anderen Server mit einer fester IP Also sozusagen if (NOT Client AND NOT Server X) ERROR

17.12.2011, 21:25
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Server to Server -> IP Tunnel ( VPN ) -> Eigener IP-Bereich ( 10.x.x.x ) restriktiv per Apache sichern -> Server API Client to Server -> Global -> Alle IPs -> Client API / Website Fettisch. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

17.12.2011, 22:21
achtelpetit Erfahrener Benutzer Registriert seit: 01.06.2011 Beiträge: 391 PHP-Kenntnisse: Anfänger	Warum googelst Du nicht einfach mal "IP-Adresse vortäuschen"? Da gibt es einige Aufklärung und einige Rezepte.