| | | | |
| |||||||
| PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen |
 |
| | LinkBack | Themen-Optionen | Thema bewerten |
11.12.2007, 11:19
| |
| Benutzer Registriert seit: 13.12.2005
Beiträge: 65
 |  Sicherheits-Checkliste für ein WebProjekt? Tachchen! Ich hab da mal eine Frage. Gibt es eine standartisierte Checkliste für Sicherfragen bezüglich eines Webprojects? Beispiel: 1. sind Unterordner mit .htaccess geschützt? 2. sind Funktionen durch Benutzer- /Rechteabfragen geschützt? 3. sind öffentlich mögliche Eingaben durch CaptCha geschützt? 4. etc...etc...etc Wenn es keine gibt, könnte man ja mal eine erstellen, oder was meint ihr? Wenn ihr eine Checkliste habt, dann her damit. Wenn ihr keine habt, aber Punkte, die in solch einer Checkliste nicht fehlen dürfen, dann auch her damit. Bin grad dabei die Plattform für mein, ich sag mal ganz vorsichtig in Anführungszeichen, "Internet-Label" zu programmieren. Da will man viel mit machen können und es soll flexibel sein...aber alles soll die Öffentlichkeit nicht zu Gesicht bekommen bzw. zerstören können.
__________________ http://www.schwarzerton.de. |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
11.12.2007, 13:18
| |
| Erfahrener Benutzer Registriert seit: 16.07.2005
Beiträge: 1.007
PHP-Kenntnisse: Fortgeschritten  | nun, die sicherheitsfragen sind anderer natur. auf sowas muss dein (php) code getestet werden: XSS SQL-Injection Code-Injection was du aufzählst versteht sich mit unter von selbst, außer Captchas (siehe hier). ob du die unterordner mit htaccess schützen musst, kann ich dir nicht sagen. programmierst du OOP ist das nur ein I-Tüpfelchen.... |
|
| |
|
11.12.2007, 13:32
| |
| Erfahrener Benutzer Registriert seit: 13.05.2006
Beiträge: 466
| Ah, schön ... eine Projektplanung ... *misch ein* Eine wirkliche Liste hätte ich nicht im Angebot, aber wir können drüber reden.  Internet-Label klingt interessant ... habe ich doch eine Casting-Plattform (offline) mit ähnlichen Bedingungen geschaffen.  (Background: selbst mal im Studio geschraubt und immer fehlte das passende Vocal für den Track - Casting dauert aber zu lange)Aber mal ganz rudimentär gestartet: Deine Zielgruppe könnte jede(r) sein - richtig? CaptCha ist ja ganz nett, Du sperrst aber auf diesem Wege Menschen aus, die z. B. auf Voice-Software angewiesen sind (Stichwort: Barrierefreiheit). Alternativen gibt es, Bots außen vor zu lassen ... Was willst Du denn warum schützen (s. Punkt 1 + 2)? Wenn Du bspw. User-Profile meinst, so kannst Du das im Script selbst erledigen ... musst halt bei der Umsetzung schon dran denken - im Nachhinein ändert sich sowas sehr ätzend. ^^ Ey, wir können das Thema hier komplett ausweiden ... startet beim rudimentärsten Site-Hack über die robots.txt, über Paramterübergabe und XSS & Co. bis zum Schutz möglicher Uploads bzw. Wege dafür eeeeeetc. Ich war jetzt gerade mal auf der Seite ... ich glaube, Du redest von den Audiofiles, die Du direkt verdrahtet hast und somit von anderen Seiten ebenfalls verlinkt werden könnten (Dein Traffic!) ... Na, einfach mal Feedback oder ein paar Infos mehr. Grüße.
__________________ Manche Menschen sind wie Schnitzel - nicht zäh, aber beidseitig bekloppt! |
|
| |
|
11.12.2007, 14:56
| |
| Erfahrener Benutzer Registriert seit: 21.05.2008
Beiträge: 9.937
| Zumindest kannst du die Sicherheitseinstellungen des Servers checken: http://phpsec.org/projects/phpsecinfo/index.html Das sagt aber nur etwas über die Einstellungen aus, nicht über die Programmierung (logisch). Was du schützen willst habe ich nicht so ganz verstanden. |
|
| |
|
12.12.2007, 11:02
| |
| Benutzer Registriert seit: 13.12.2005
Beiträge: 65
| Naja, schützen will ich folgendes: - Gästebuch (vor willkürlichen BotEinträgen) ...meine bisheriger schutz dafür war kein Captcha, sondern wie auf meiner Seite zu sehen ist, eine simple 4 stellige Ziffern- und Buchstabenkombi. (gerade mal die Ziffern 1-4 und die Tasten qwer asdf yxcv). Funktionierte bis dato auch. Denke aber, dass es auch daran liegt, welche Bots sich auf der seite getummelt haben. So großartig bekannt ist die Seite ja nun nicht. Ok, das mit dem Captcha sehe ich ein und die Ideen, die unter dem oben genannten Link, genannt werden, sind ziemlich klasse. - Administrative Formulare / Funktionen: ...diese sind bereits geschützt durch dementsprechende Abfragen (Funktionen prüfen die Gruppenzugehörigkeit innerhalb der Datenbank und dementsprechend wird der Code des Formulars / der Funktion bearbeitet oder eben nicht) - Dateien via .htaccess (oder vielleicht andere Wege?): ...bisher sollten meine Daten via .htaccess gesichert sein, allerdings sind das vorgefertigte Einstellungen des Providers. Ich würde mich gern selbst mal einer .htaccess annehmen, aber auf'm localhost klappt das irgendwie nicht. Muss der Server noch die Anweisung bekommen, dass er .htaccess Dateien beachtet? ...meine Überlegung ist bei der ganzen Geschichte nicht, was will ich schützen, sondern, wie sollte ich mein WebProjekt im allgemeinen schützen? Worauf muss geachtet werden? Was ist von besonderer Relevanz? Ich bin noch fortgeschrittener Anfänger, behaupte ich mal, und bilde mir deshalb nicht ein, nur weil ich eine Kontrollabfrage gebastelt habe, die auf einem doch recht simpel gehaltenen Rechtesystem beruht, dass ich der Spezi wäre und ich nichts weiter zu beachten habe. Naja...soviel dazu. btw: Die momentane Präsenz auf schwarzerton.de ist die alte Version. habe vor ein paar Tagen mit einer neuen Version begonnen, die komplett neu geschrieben wird als auch gestaltet wird. Übersichtlicher für die Besucher, einfacheres Design für mich als "Entwickler" und "Designer" der Seite, kontrolliertere Abfragen bei Formularübergaben und vor allem Zugriffsschutz auf alle erdenklichen Funktionen / Formulare. Dabei will ich aber gewährleisten können, dass es sozusagen "MultiUser"-fähig ist und diese verschiedenen User auch verschiedene Rechte bekommen (der eine darf News schreiben, aber nicht löschen und wenn nur seine eigenen...etc.) So...Captcha...die Mühe mach ich mir also nicht.
__________________ http://www.schwarzerton.de. |
|
| |
|
12.12.2007, 11:02
| |
| Benutzer Registriert seit: 13.12.2005
Beiträge: 65
| Achso...was genau ist XSS?
__________________ http://www.schwarzerton.de. |
|
| |
|
12.12.2007, 11:26
| |
| Erfahrener Benutzer Registriert seit: 17.06.2008
Beiträge: 125
| Hola, hier ein grundlegener Link: http://de.wikipedia.org/wiki/Cross-Site_Scripting Und hier der passende Sandkasten dazu: http://ha.ckers.org/xss.html Bis dääähne. |
|
| |
|
12.12.2007, 16:01
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten  | Hier eine Fülle an Infos [en]: OWASP Testing Guide http://www.owasp.org/images/2/28/OWA...v2_RC1_pdf.zip |
|
| |
|
13.12.2007, 08:30
| |
| Erfahrener Benutzer Registriert seit: 13.05.2006
Beiträge: 466
| @ Nikosch: Die Datei ist beschädigt ... (2x probiert) @ squig: Der Sandkasten ist cool ... wo sind noch gleich meine "Förmchen"?!
__________________ Manche Menschen sind wie Schnitzel - nicht zäh, aber beidseitig bekloppt! |
|
| |
|
13.12.2007, 08:47
| |
| Gast
Beiträge: n/a
| @Curanai Die Datei ist nicht beschädigt, liegt sicherlich an deinen ZIP-Programm. |
| |
| |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| 3-köpfige Team sucht 3ten Coder für ein Webprojekt - PHP OOP- MYSQL | mrmojo | Beitragsarchiv | 0 | 09.06.2008 21:05 |
| Hilfe bei unserem Webprojekt | WFX264 | Beitragsarchiv | 1 | 09.04.2008 21:57 |
| Checkliste einbinden | CHRIS | PHP Tipps 2005 | 25 | 26.05.2005 14:12 |
| sicherheits abfrage vor seitenwechsel??? | PHP Tipps 2004 | 6 | 23.08.2004 16:03 | |
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
