Ankündigung

Einklappen
Keine Ankündigung bisher.

die "absolut sichere" App

Einklappen
Dieses Thema ist geschlossen.
X
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • die "absolut sichere" App

    hi all,

    jemand befragte mich zur Erstellung einer Web-Anwendung, die Rechtsfälle mit kritischen Daten verwalten soll :
    sie sollte 'unhackable' sein, aber wenn jemand versucht zu 'hacken',
    sollten keine verständlichen Infos zu Namen,Orten oder reellen
    Rechtsfällen erkannt bzw. hergeleitet werden können.

    ich bin unerfahren mit serversided apps (anyways : ich liebe java se, aber komme nicht vorwärts mit javafx, tomcat und dergleichen)

    ich nehme mal an,folgende Dinge könnten zum ziel führen
    (to do with html,php,js,ajax,css and mysql) :
    - login immer erforderlich, um was brauchbares in der anwendung zu sehen
    - Inhalte(texte) in der Datenbank : soweit wie sinnvoll verschlüsseln

    - sql-intrusion in form fields(z.B. login usw) verhindern

    - sql-codes wie INSERT,UPDATE,DELETE nur als StoredProcedures

    - SELECT ist der einzige sql-code , der in in php-code auftauchen darf
    (besser doch als Stored Procedure ?)

    - table- and fieldnames sind nur zahlen, keine normal interpretierbaren Zeichen

    - https generell

    -> ich gehe davon aus, daß dann alle datastreams zwischen server und client keine menschlich verständlichen Infos enthalten

    ist das so sinnvoll ?
    ist das genug getan ?


  • #2
    Am Ende musst du beim Entwickeln dafür sorgen das du keine Lücken rein machst ... sowas wie Cross-Site-Scripting, SQL Injection, Sesssion-Fixiation, Session-Hijacking und Cross-Site Request Forgery hast du noch gar nicht angesprochen. Dazu muss der Server natürlich auch entsprechend abgesichert sein, nur auf Anwendungsebene bringt dir eine "absolute" Sicherheit nichts.

    Und eine "unhackable" Anwendungen zu schreiben wäre schön, die Realität zeigt aber etwas anderes, du zwar viel dafür tun, alleine wirst du aber niemals eine wirklich sichere Anwendung schreiben können. Allein aus dem Grund das du wahrscheinlich externe Software einsetzen wirst und nicht kontrollieren kannst ob nicht dort ein Fehler oder eine Lücke existiert die ausgenutzt werden könnte.

    Kommentar


    • #3
      Rechtsfälle mit kritischen Daten
      Gehören nicht ins Netz. Punkt.
      --

      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
      Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


      --

      Kommentar


      • #4
        Anfänger in den genutzten Technologien, auch keine wirkliche Ahnung von relevanten Sicherheitsaspekten, erst mal andere Leute so Grundsatzsachen fragen. „Unhackbare“ Anwendung zur Verwaltung hochgradig privater Daten erstellen.

        Denkt da eigentlich irgendeiner mal drüber nach?
        PHP-Wissenssammlung Composer Awesome Awesomeness PHP: The Right Way @mermshaus

        Kommentar


        • #5
          Offenbar nicht. So gesehen können wir auch diesen Thread eigentlich zu machen. Inserate, Konzepte und Meinungsumfragen
          --

          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


          --

          Kommentar


          • #6
            Könntest ihn zumachen wegen Crosspostings, wenn du willst.

            - http://phpforum.de/forum/showthread.php?t=276059

            Warum ist der Thread eigentlich im Wiki-Forum?

            Ich wollte noch mal versuchen, meine Kritik konstruktiver zu formulieren, aber ich komme immer wieder zu schnell bei dem Gedanken an, dass man selbst merken sollte, dass das Vorhaben so durchaus fahrlässig ist.

            Wenn ich etwa jemand wäre, dessen sensible Daten da online gestellt werden sollen, und wenn ich wüsste, dass der Entwickler, der für die Sicherheit verantwortlich ist, erst mal grundsätzlich in einem Forum dazu Fragen stellen muss… Ich wäre nicht wirklich glücklich damit, um es sehr stark beschönigend auszudrücken.

            Ich wäre bei so was vorsichtig.

            Edit: Muss mich korrigieren. Da stand nur:

            jemand befragte mich zur Erstellung einer Web-Anwendung
            PHP-Wissenssammlung Composer Awesome Awesomeness PHP: The Right Way @mermshaus

            Kommentar


            • #7
              [MOD: Thread geschlossen]
              --

              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
              Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


              --

              Kommentar

              Lädt...
              X