[Erledigt] Kurzes Feedback zum Thema Sicherheit

Arne Drews · 06.06.2011, 18:17

Moin,

Ich verwende eine Konfigurationsdatei für meine Struktur, die in einem Unterverzeichnis vom DocRoot läuft. Nun kommen evtl. aber dort zusätzlich wichtige Daten rein (DB-Zugang, etc.), weshalb ich die Datei an sich immer ausserhalb von DocRoot ablege.

Nun ist die Struktur vom Grundsatz so aufgebaut, daß sie auf jedem beliebigen Server, vServer bzw. Webspace direkt lauffähig ist. Da aber die open_base_dir-Direktive z.T. den Zugriff auf Dateien ausserhalb des DocRoot nicht erlaubt und ich diese Anpassungen nicht jedem zumuten möchte, habe ich die Dateien weiterhin in dem Unterverzeichnis innerhalb des DocRoot.

Bspw.: example.com/verzeichnis/.datei.ini

Jetzt habe ich das Verzeichnis (verzeichnis) mit einer .htaccess versehen, in der ich den Zugriff auf bestimmte Dateien verbiete:
.htaccess

Code:

<FilesMatch "\.(ini|htaccess)$">
order allow,deny
deny from all
</FilesMatch>

Soweit funktioniert das auch alles, wie gewollt.
Nun würde mich interessieren, ob Ihr das für verhältnismässig sicher haltet oder ob ich da evtl. etwas entscheidendes übersehe?

Danke für Eure Meinungen!

Daniel · 06.06.2011, 20:02

Zumindest von außen über den Apache-Server ist somit kein Zugriff mehr erlaubt.

Was spricht denn dagegen, das als PHP Datei zu machen, dort als Variablen zu deklarieren und dann zu includen? Selbst wenn man dann von außen darauf zugreifen kann, wird die PHP Datei eben ausgeführt. Aber du bekommst die Daten darin nicht zu Gesicht.

Im Zweifel kannst natürlich auch dort noch mit htaccess arbeiten.

Ansonsten bleiben noch Dateiberechtigungen (stichwort world-readable) oder Sicherheitslücken, die du aber wohl nicht absichtlich einbaust

Arne Drews · 07.06.2011, 07:58

Hi Daniel,

Zitat:

Zitat von Daniel

Was spricht denn dagegen, das als PHP Datei zu machen, dort als Variablen zu deklarieren und dann zu includen?

Prinzipiell nichts. Eine ini habe ich vorgezogen, weil ich persönlich der Ansicht bin, daß die auch von Laien gepflegt werden kann.

Zitat:

Zitat von Daniel

Ansonsten bleiben noch Dateiberechtigungen (stichwort world-readable) oder Sicherheitslücken, die du aber wohl nicht absichtlich einbaust

Öhm... Nö... Ich denke nicht!
Ich würde sogar behaupten, daß ich versuche diese absichtlich zu schliessen

thx...

nikosch · 07.06.2011, 18:12

Zitat:

Eine ini habe ich vorgezogen, weil ich persönlich der Ansicht bin, daß die auch von Laien gepflegt werden kann.

Ich finde, DB Zugangsdaten sollten ohnehin nicht groß gepflegt werden. Schon gar nicht von Laien. Varianten:

- für den Laien ein Installationsprozess
- sonst: ein einfaches PHP-File. Wer ein Websystem aufstetzt, sollte m.E. ein gewisses Grundwissen im Bereich aufweisen.

Arne Drews · 07.06.2011, 18:38

Ok, das verringert mein Überzeugung zur ini schon ein wenig.
Allerdings sollen z.B. Kollegen neue Projekte aufsetzen und einfach anpassen können. Daher dachte ich eine zentrale Konfigurationsdatei im Klartext wäre da am einfachsten.

Beispiel:
- Neues Projekt wird angelegt.
- Der Webserver legt in dem Webroot die Struktur automatisch an.
- Kollege muß nur noch Anpassungen für die Kundendaten in der Konfiguration vornehmen (Adresse, Impressumsdaten).
- Hier evtl. auch einen Datenbankzugang für ein Gästebuch?!

Da fand ich das so am übersichtlichsten, aber ich mach mir mal Gedanken, ob es sinnvoller wäre das doch umzubauen.

Danke schön

Daniel · 07.06.2011, 18:40

Ein Kollege sollte auch in der Lage sein, ein paar Variablen in einer PHP-Konfiguration zu ändern.

Mal davon abgesehen mutest du so den Kollegen zu, den Webserver gegen direktes Zugreifen auf deine Konfigurations-INI zu verhindern.

Ich denke, hier sollte man abwägen, was "schlimmer" ist.

nikosch · 07.06.2011, 18:42

Man kann durchaus drüber nachdenken, alles außer System-bezogene Daten direkt in der Datenbank zu konfigurieren.

System-bezogene Daten : [
Serverpfad der Anwendung
Db-Zugangsdaten
evtl. Domainname
]

Arne Drews · 07.06.2011, 19:52

Zitat:

Zitat von Daniel

Ein Kollege sollte auch in der Lage sein, ein paar Variablen in einer PHP-Konfiguration zu ändern.

Sicher. Da bin ich Eurer Meinung.

Zitat:

Zitat von Daniel

Mal davon abgesehen mutest du so den Kollegen zu, den Webserver gegen direktes Zugreifen auf deine Konfigurations-INI zu verhindern.

Die haben doch FTP-Zugang. Oder hab ich Dich falsch verstanden?

Zitat:

Zitat von nikosch

Man kann durchaus drüber nachdenken, alles außer System-bezogene Daten direkt in der Datenbank zu konfigurieren.

Das halte ich für eine der besten Varianten!
Jedoch soll das System in der Basiskonfiguration ohne DB klarkommen.

Ihr habt natürlich recht, daß es geschickter geht.
Aber ich denke, nachdem ich Eure Meinungen gelesen habe, ist die jetzige Variante hinsichtlich der Sicherheit nicht die schlechteste (wobei vermutlich auch nicht die Beste, das mag sein).
Die Konfiguration zum größten Teil über eine DB darzustellen werde ich sicher einbauen, wenn ich dem System eine Installationsroutine spendiere.

Ich danke Euch für Eure Anregungen und Meinungen!

nikosch · 07.06.2011, 19:56

Zitat:

Jedoch soll das System in der Basiskonfiguration ohne DB klarkommen.

Selbst dann würde ich Systemkonfiguration und Anwendereinstellungen trennen. Könntest für letzteres ja bspw. einen Konfigurationswrapper benutzen, der die Konf dann eben aus DB oder ini-File, XML ... ausliest. Datenbankdaten würde ich jedenfalls immer includieren.

Arne Drews · 07.06.2011, 20:02

Jep, so ähnlich passierts ja momentan. Also die ini wird ausgelesen und das System anhand der Daten aufgebaut. "Trennen" tue ich in dem Sinne, daß in der entsprechenden ini lediglich noch die Daten sind, die auch wirklich veränderbar sein dürfen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Thema für wissenschaftliche Arbeit gesucht	Sangreal	Off-Topic Diskussionen	21	01.10.2010 13:11
Formularverarbeitung, Sicherheit	nikosch	Wiki Diskussionsforum	5	14.07.2010 13:01
[Erledigt] Wie hoch ist das Interesse an Sicherheit?	Sirke	PHP Tipps 2010	7	26.02.2010 19:22
[Erledigt] Update auf Beitrgastabelle beim Thema verschieben wird nicht ausgeführt	litterauspirna	PHP Tipps 2009	8	17.11.2009 17:24
Thema als gelesen markieren	Squall	Board-Support	22	27.10.2009 14:38
[Erledigt] Der wievielte Beitrag über ein bestimmtes Thema in Tabelle "Beiträge"	lou	Datenbanken	8	09.06.2009 10:11
Lerne Grundlagen \| Quellensammlung	cycap	PHP Einsteiger	0	12.11.2008 16:23
Sessions und die Sicherheit. Verständnisfrage.	litterauspirna	PHP Tipps 2008	7	30.10.2008 09:39
sicherheit	SteiniKeule	PHP Tipps 2008	9	20.10.2008 06:48
[Erledigt] Thema anpinnen und Thema als gelesen markieren?	litterauspirna	PHP Tipps 2008	27	04.08.2008 11:19
Neues Thema und Eröffnungspost richtig zueinander in 2 Tabelen eintragen?	litterauspirna	PHP Tipps 2008	8	25.06.2008 13:37
Sicherheit in PHP	robydog	PHP Tipps 2008	52	10.05.2008 13:09
[Erledigt] Thema Sicherheit?		PHP-Fortgeschrittene	5	05.11.2004 05:43

06.06.2011, 18:17
Arne Drews Erfahrener Benutzer Registriert seit: 22.04.2009 Beiträge: 3.486 PHP-Kenntnisse: Anfänger	[Erledigt] Kurzes Feedback zum Thema Sicherheit Moin, Ich verwende eine Konfigurationsdatei für meine Struktur, die in einem Unterverzeichnis vom DocRoot läuft. Nun kommen evtl. aber dort zusätzlich wichtige Daten rein (DB-Zugang, etc.), weshalb ich die Datei an sich immer ausserhalb von DocRoot ablege. Nun ist die Struktur vom Grundsatz so aufgebaut, daß sie auf jedem beliebigen Server, vServer bzw. Webspace direkt lauffähig ist. Da aber die open_base_dir-Direktive z.T. den Zugriff auf Dateien ausserhalb des DocRoot nicht erlaubt und ich diese Anpassungen nicht jedem zumuten möchte, habe ich die Dateien weiterhin in dem Unterverzeichnis innerhalb des DocRoot. Bspw.: example.com/verzeichnis/.datei.ini Jetzt habe ich das Verzeichnis (verzeichnis) mit einer .htaccess versehen, in der ich den Zugriff auf bestimmte Dateien verbiete: .htaccess Code: <FilesMatch "\.(ini\|htaccess)$"> order allow,deny deny from all </FilesMatch> Soweit funktioniert das auch alles, wie gewollt. Nun würde mich interessieren, ob Ihr das für verhältnismässig sicher haltet oder ob ich da evtl. etwas entscheidendes übersehe? Danke für Eure Meinungen! __________________ Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt. Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.06.2011, 20:02
Daniel Erfahrener Benutzer Registriert seit: 01.06.2008 Beiträge: 179 PHP-Kenntnisse: Fortgeschritten	Zumindest von außen über den Apache-Server ist somit kein Zugriff mehr erlaubt. Was spricht denn dagegen, das als PHP Datei zu machen, dort als Variablen zu deklarieren und dann zu includen? Selbst wenn man dann von außen darauf zugreifen kann, wird die PHP Datei eben ausgeführt. Aber du bekommst die Daten darin nicht zu Gesicht. Im Zweifel kannst natürlich auch dort noch mit htaccess arbeiten. Ansonsten bleiben noch Dateiberechtigungen (stichwort world-readable) oder Sicherheitslücken, die du aber wohl nicht absichtlich einbaust

07.06.2011, 18:38
Arne Drews Erfahrener Benutzer Registriert seit: 22.04.2009 Beiträge: 3.486 PHP-Kenntnisse: Anfänger	Ok, das verringert mein Überzeugung zur ini schon ein wenig. Allerdings sollen z.B. Kollegen neue Projekte aufsetzen und einfach anpassen können. Daher dachte ich eine zentrale Konfigurationsdatei im Klartext wäre da am einfachsten. Beispiel: - Neues Projekt wird angelegt. - Der Webserver legt in dem Webroot die Struktur automatisch an. - Kollege muß nur noch Anpassungen für die Kundendaten in der Konfiguration vornehmen (Adresse, Impressumsdaten). - Hier evtl. auch einen Datenbankzugang für ein Gästebuch?! Da fand ich das so am übersichtlichsten, aber ich mach mir mal Gedanken, ob es sinnvoller wäre das doch umzubauen. Danke schön __________________ Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt. Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein

07.06.2011, 18:40
Daniel Erfahrener Benutzer Registriert seit: 01.06.2008 Beiträge: 179 PHP-Kenntnisse: Fortgeschritten	Ein Kollege sollte auch in der Lage sein, ein paar Variablen in einer PHP-Konfiguration zu ändern. Mal davon abgesehen mutest du so den Kollegen zu, den Webserver gegen direktes Zugreifen auf deine Konfigurations-INI zu verhindern. Ich denke, hier sollte man abwägen, was "schlimmer" ist. __________________ Je mehr ich lerne, desto mehr wird mir bewusst, dass ich eigentlich nichts weiß.

07.06.2011, 18:42
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.991 PHP-Kenntnisse: Fortgeschritten	Man kann durchaus drüber nachdenken, alles außer System-bezogene Daten direkt in der Datenbank zu konfigurieren. System-bezogene Daten : [ Serverpfad der Anwendung Db-Zugangsdaten evtl. Domainname ] __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

07.06.2011, 20:02
Arne Drews Erfahrener Benutzer Registriert seit: 22.04.2009 Beiträge: 3.486 PHP-Kenntnisse: Anfänger	Jep, so ähnlich passierts ja momentan. Also die ini wird ausgelesen und das System anhand der Daten aufgebaut. "Trennen" tue ich in dem Sinne, daß in der entsprechenden ini lediglich noch die Daten sind, die auch wirklich veränderbar sein dürfen. __________________ Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt. Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein