Ankündigung

Einklappen
Keine Ankündigung bisher.

Hosting, Sicherheit, PayPal Sandbox

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Hosting, Sicherheit, PayPal Sandbox

    Hey,

    mein Frage bezieht sich auf die Sicherheit eines Testservers im Netz. Wie sicher ist mein Webserver, den ich zur Integration von PayPal benutze?

    Auf dem Webserver gibt es eine Seite, auf der alle Zugangsdaten zu meiner PayPal Sandbox stehen. Solange Sie im php quelltext stehen müsste es doch sicher sein oder?

    Kann ich es mit so einer einfachen abfrage absichern?
    PHP-Code:
    if($_GET['user'] == "admin" && $_GET['pw'] == "8475983689"){
       
    //quellcode ausführen
    }
     else{
       die();
     } 
    Ausserdem habe ich eine robots.txt angelegt, damit mich niemand ausversehen findet.

    Danke schonmal für eure Antworten.

  • #2
    Ich fasse mich kurz: Nein. Das ist nicht sicher.

    GET-Requests stehen so im Log, d.h. dein PWD steht im Klartext im Log. Mindestens der Vergleich mit einer gehashten Version des PWD wäre sinnvoll.

    Ausserdem können wir die Sicherheit eines Teils nicht beurteilen ohne das Ganze zu kennen. Wenn alle Ports an deinen Server durchgereicht werden und du keine Firewall hast dann gute Nacht.
    [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

    Kommentar


    • #3
      und über post variablen?

      Der Server ist von 1&1 und ich habe keine zusätlichen Sicherheitsservices in meinem Paket, aber die haben bestimmt eine Firewall standardmäßig.

      soll ich das passwort mit einem code umgenerieren?
      was heisst hashen?

      Warum ist es schlimm keine Firewall zu haben, was kann passieren?
      Selbst wenn jemand Anfragen schickt, ich habe doch unbegrenzten Traffic.

      Danke, schonmal im vorraus

      Kommentar


      • #4
        Die spannende Frage ist nicht, ob es sicher ist, sondern VOR WEM es sicher ist.

        Vor der Hausfrau von nebenan, die die URL aus versehen eingibt? Ja
        Vor einem unbedarften User? Ja
        Vor Suchmaschinenbots? Ja
        Vor Scriptkiddies? So la la
        Vor Leuten, die Zugriff auf deinen FTP-Zugang haben? Nein
        Vor Leuten, die Serverzugriff haben? Nein
        Vor Leuten, die deinen Traffic überwachen? Nein
        Vor Administratoren von 1&1? Eher nein

        ... du siehst, worauf ich hinaus will...
        [URL="http://goo.gl/6Biyf"]Lerne Grundlagen[/URL] | [URL="http://sscce.org/"]Schreibe gute Beispiele[/URL] | [URL="http://goo.gl/f2jR7"]PDO > mysqli > mysql[/URL] | [URL="http://goo.gl/jvfSZ"]Versuch nicht, das Rad neu zu erfinden[/URL] | [URL="http://goo.gl/T2PU5"]Warum $foo[bar] böse ist[/URL] | [URL="http://goo.gl/rrfzO"]SQL Injections[/URL] | [URL="http://goo.gl/Q81WJ"]Hashes sind keine Verschlüsselungen![/URL] | [URL="http://goo.gl/2x0e2"]Dein E-Mail Regex ist falsch[/URL]

        Kommentar


        • #5
          Die Frage ist ja warum man sich eine Seite öffentlich im Netz bastelt wo so sensible Daten hinter einem nicht brutforce sicherem Login stehen.

          Ist quasi so als würdest du mit einem Beutel Kokain auf dem Kopf in einem Polizeipräsidium tanzen. Irgendwann kriegt das wer mit.

          Stellt sich die Frage: Warum eine Seite auf einen Testserver packen wo deine Logindaten dargestellt werden ?
          [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

          Kommentar


          • #6
            Die Logindaten werden nicht dargestellt.
            Sie sind nur im PHP Quelltext. Ich denke mit dem Risiko kann ich leben, solange ich in der PayPal Sandbox bin.

            Nur wenn ich später die Seite mit Datenbank hochlade, dann muss ich mich wahrscheinlich genauer damit befassen.

            Kennt jemand eine gute Anleitung für einen gewissen Sicherheitsstandard von Webseiten?

            Sind die 1&1 Sicherheitsservices wichtig?
            Auf der Website befindet sich auch ein Datei-Upload, der allerdings etwas Mime-Sniffing betreibt und nur ein virenfreies Dateiformat durchlässt.

            Brauche ich noch irgendwas um eine MySQL- Datenbank abzusichern?

            Kommentar


            • #7
              Hallo,

              um das nochmal konkret abzustecken folgende Fragen:
              - Hast du bei 1&1 tatsächlich einen virtuellen oder dedizerten Server oder Websapce und nennst es nur "Server"?
              - Wenn du einen Server (welcher Art auch immer hast) WIESO? http://hostingblogger.de/ist-ein-vse...-das-richtige/ (gilt im zweifel auch für einen Rootserver bis auf gewisse Aspekte)

              Die Logindaten werden nicht dargestellt.
              Sie sind nur im PHP Quelltext. Ich denke mit dem Risiko kann ich leben, solange ich in der PayPal Sandbox bin.
              Was hat die Datei im Document-Root deiner Website zu suchen?

              Änder die Struktur deiner Anwendung auf z.B:
              - config/
              - paypal.config.php (PayPal-Zugangsdaten)
              - web/
              - index.php (Einsteigspunkt deiner Website)

              Wenn du nun den DocumentRoot auf das "web/" Verzeichnis setzt - ist die Datei quasi nicht mehr erreichbar - wenn es prinzipell mal um den Schutz dieser Quellcode-Datei geht. Via Code Injection sind natürlich immernoch möglichkeiten gegeben die Werte bzw. die definierten Varaibelen auszulesen!

              Kennt jemand eine gute Anleitung für einen gewissen Sicherheitsstandard von Webseiten?
              Es hat einen Grund warum das in Deutschand entweder eine 3 Jährige Ausbildung oder ein Studium ist. Ich denke ein Leitfaden ist Clean-Code und einhalten von Standards - ggf. schaust du dir mal die php-de Wissenssammlung auf Github an.

              Sind die 1&1 Sicherheitsservices wichtig?
              Was soll das sein? Hab mit diesem Schrotthoster nix am Hut!

              Auf der Website befindet sich auch ein Datei-Upload, der allerdings etwas Mime-Sniffing betreibt und nur ein virenfreies Dateiformat durchlässt.
              Wie willst du durch prüfung des Mime-Types feststellen das das Dateiformat "Vierenfrei" ist? Geschweigeden davon das es relativ schwierig ist einen wirklichen Virus bei korrekter Webserverkonfiguration überhaupt nach dem Upload irgendwelchen Schaden am Server ausführen zu lassen!

              Brauche ich noch irgendwas um eine MySQL- Datenbank abzusichern?
              Sichere Zugangsdaten sind das A&O - dann sollte es noch keine Möglichkeit für SQL-Injections auf deiner Seite geben das wären die Basics!
              Gruß,
              SebTM

              Kommentar


              • #8
                Hosting, Sicherheit, PayPal Sandbox

                Nur kurz: einen Root-Server bekommt er nie im Leben. Du meinst ein Deficated Server. Root-Server gibt es nur deren 13 und die halten unser ganzes DNS zusammen. Ich bitte um fachliche Korrektheit!
                [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

                Kommentar


                • #9
                  Ich habe Webspace und zwei Domains gekauft. Keinen Server, Sorry für den falschen Begriff.

                  Das mit dem Document-Root, war das was ich gesucht hab. Wahrscheinlich muss ich das wieder von 1&1 umstellen lassen.

                  Ich kenn mich auch nicht damit aus, was der Schrotthoster anbietet. So steht es in meinem 1&1 Paketnformatonen:
                  1&1 Virenschutz : Nein
                  Norton AntiVirus : Nein
                  Norton Internet Security : Nein
                  1&1 SiteLock : Nein
                  1&1 Platin Service : Nein

                  Nur bei E-Mail habe ich einen Anti-Spam-Schutz.

                  Was ist denn für dich kein Schrotthoster?(nur das ich es beim nächsten mal besser mache)

                  Der Dateiupload lässt nur ein Format durch, dass nicht ausführbar ist.
                  Und da ich mit der Datei etwas berechne, bevor Sie hochgeladen wird, weiß ich, dass es eine Datei des Formates ist. Wenn meine Berechnung einen Error aufzeigt, dann: die();

                  Und sichere Zugangsdaten für SQL sind ja klar.

                  Kommentar

                  Lädt...
                  X