Sicherheitsrisiken fopen über https und authorization?

11.09.2005, 17:19

Hallo,
ich möchte eine Datei auslesen, die sich auf einem HTTPS-Server mit User- und Passwort-Abfrage befindet. Dies funktioniert eigentlich ganz schön mit

fopen("https://einbenutzer:undeinpasswort@irgendwas.de/pfad/datei.irgendwas", "r");

.. Weiterverarbeitung dann mit fread oder fget, und dann irgendwo auf dem eigenen Server speichern.

Gibt es da irgendwelche Sicherheitsrisiken? Hat jemand eine Idee? Gibt es evtl. eine andere, bessere Möglichkeit?
Danke für eure Meinung.
Gruß
Michael

greenrover · 11.09.2005, 17:45

jemand kann dein PW mit sniffen.

Waq · 11.09.2005, 22:59

Zitat:

Zitat von greenrover

jemand kann dein PW mit sniffen.

Bedingt. Durch echtes sniffen ist da nicht viel zu machen, eher durch einen man-in-the-middle attack, da PHP standardmässig nicht das Zertifikat prüft, was man aber einstellen kann.

http://de3.php.net/manual/en/functio...ext-create.php
http://de3.php.net/manual/en/transports.php

Der Beitrag wurde verschoben, wegen...
... Postings im falschen Forum. Bitte beim nächsten Mal darauf achten..

Bemerkung:
Die gestellte Frage entspricht nicht dem Wissensstand eines Profis. Dazu: http://www.phpfriend.de/forum/viewtopic.php?t=21431

moved to PHP - Fortgeschrittene

12.09.2005, 17:28

... erstmal sorry für posten im falschen forum ...

lieg ich da richtig dass die einfache lösung wie oben beschrieben das selbe bewirkt (sicherheitstechnisch gesehen), wie wenn ich den host über den browser aufrufe, die benutzerdaten eingebe und dann die datei herunterlade?

hab noch nicht DIE erfahrung mit streams und zertifikaten
muss die gegenseite die php verifizierung des zertifikats unterstützen und / oder evtl. ein lokales passendes zertifikat vorhanden sein? die alternative wäre dann wohl die einseitige lösung ohne verifizierung??? wie gesagt ich bin da noch etwas planlos.
ein lokales kann ich über cafile / capath nicht angeben, weil ich einfach keins habe ...
ich hab 'verify_peer' mal im stream context über den ssl wrapper auf true gesetzt, das konnte php aber nicht durchführen:

"OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in [derpfad]"

ich denke mal das wird dann wie oben die sicherste möglichkeit sein (unter diesen umständen)?

gruß
michael

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
https	angehender Freak	PHP Tipps 2008	18	09.06.2008 21:20
fopen() - Hostabhängig?	pcschröda	PHP-Fortgeschrittene	5	15.11.2007 20:25
PHP-File generieren, grundlegende Frage! fopen richtig?		PHP Tipps 2006	26	24.02.2006 14:03
fopen und zeilenumbruch	notyyy	PHP Tipps 2006	1	24.01.2006 16:33
fopen geht nicht, ich glaube ich bin dumm.		PHP Tipps 2005-2	10	20.10.2005 23:59
Verbindungsaufbau via https und übermittlung via post reques	MortakArtos	PHP Tipps 2005-2	1	04.10.2005 08:03
Zugriff mit https auf verschlüsselte Seiten	Klaus	Server, Hosting und Workstations	5	19.06.2005 18:33
FOPEN() Probleme		PHP Tipps 2005	7	18.05.2005 18:07
button (submit) ->action auf https		PHP Tipps 2005	7	18.04.2005 18:32
umschalten des http / https protokolls mit php ohne redirect		PHP Tipps 2005	2	12.01.2005 15:29
Alternative zu fopen bei ext. Dateien		PHP-Fortgeschrittene	9	23.12.2004 13:05

11.09.2005, 17:19
Gast Beiträge: n/a	Sicherheitsrisiken fopen über https und authorization? Hallo, ich möchte eine Datei auslesen, die sich auf einem HTTPS-Server mit User- und Passwort-Abfrage befindet. Dies funktioniert eigentlich ganz schön mit fopen("https://einbenutzer:undeinpasswort@irgendwas.de/pfad/datei.irgendwas", "r"); .. Weiterverarbeitung dann mit fread oder fget, und dann irgendwo auf dem eigenen Server speichern. Gibt es da irgendwelche Sicherheitsrisiken? Hat jemand eine Idee? Gibt es evtl. eine andere, bessere Möglichkeit? Danke für eure Meinung. Gruß Michael


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

11.09.2005, 17:45
greenrover Erfahrener Benutzer Registriert seit: 09.11.2004 Beiträge: 194	jemand kann dein PW mit sniffen. __________________ www.keine-angst-vorm-pc.de/forum

12.09.2005, 17:28
Gast Beiträge: n/a	... erstmal sorry für posten im falschen forum ... lieg ich da richtig dass die einfache lösung wie oben beschrieben das selbe bewirkt (sicherheitstechnisch gesehen), wie wenn ich den host über den browser aufrufe, die benutzerdaten eingebe und dann die datei herunterlade? hab noch nicht DIE erfahrung mit streams und zertifikaten muss die gegenseite die php verifizierung des zertifikats unterstützen und / oder evtl. ein lokales passendes zertifikat vorhanden sein? die alternative wäre dann wohl die einseitige lösung ohne verifizierung??? wie gesagt ich bin da noch etwas planlos. ein lokales kann ich über cafile / capath nicht angeben, weil ich einfach keins habe ... ich hab 'verify_peer' mal im stream context über den ssl wrapper auf true gesetzt, das konnte php aber nicht durchführen: "OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in [derpfad]" ich denke mal das wird dann wie oben die sicherste möglichkeit sein (unter diesen umständen)? gruß michael