[Ben]

Hallo,
ich habe eine Frage zu den Inhalten des $_SERVER-Arrays und im Speziellen zu $_SERVER['HTTPS'].

Im Manual steht

Zitat:

'HTTPS'

Set to a non-empty value if the script was queried through the HTTPS protocol.

Fein. Frage ist nur: kann man das auch irgendwie vo außerhalb manipulieren oder reicht folgende Codezeile

PHP-Code:

$protocol = isset($_SERVER['HTTPS']) ? 'https' : 'http'; 


Danke für Eure Hilfe.
Grüße, Ben.

[Byrel]

Geh immer davon aus, das alles was im $_SERVER steht von außen manipuliert werden kann.

MfG Byrel

[dejan_spasic]

Zitat:

Zitat von Ben

Hallo,
Fein. Frage ist nur: kann man das auch irgendwie vo außerhalb manipulieren oder reicht folgende Codezeile...

Mir ist nicht bekannt, dass man den Wert "ausserhalb" manipulieren könnte

Zitat:

...oder reicht folgende Codezeile

PHP-Code:

$protocol = isset($_SERVER['HTTPS']) ? 'https' : 'http'; 


Zur sicherheit kannst du ja noch überprüfen ob der Wert auch "on" ist.

PHP-Code:

$protocol = isset($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) === "on" 
    ? 'https' 
    : 'http'; 


[Byrel]

Nahezu jeder Wert von $_SERVER kann von außen manipuliert werden. Selbst PHP Entwickler wissen teilweise nicht was manipuliert werden kann und was nicht ...

Deshalb immer annehmen, dass Daten die von SCPG kommen "tainted" sind.

MfG Byrel

[Ben]

Hallo,
danke.

Dejans Ergänzung würde mir dann ja ganz gut stehen, ne?

[WarrenFaith]

SCPG ?

//edit:
rofl der will das nicht groß schreiben!
//edit 2:
haha schlaues vB, nur großbuchstaben im post und er macht alles bis auf den ersten klein

[Byrel]

Server, Cookie, Post, Get

@Ben
Besser wenn du einfach den port prüfst

[Ben]

Zitat:

Zitat von Byrel

Besser wenn du einfach den port prüfst

Das tue ich wie?

[Byrel]

if ($_SERVER["SERVER_PORT"]!=443)
echo "kein ssl";

[Ben]

Nun, hm. Jau.
Danke, werde ich mir merken und bei Gelegenheit einfließen lassen.

Dank und Grüße,
Ben.

[chrigu]

Zitat:

Zitat von Byrel

if ($_SERVER["SERVER_PORT"]!=443)
echo "kein ssl";

Oben schreinst du, dass nahezu jeder Wert in $_SERVER manipuliert werden kann und empfiehlst ihm jetzt, dieses zu verwenden?
Da kann er ja einfach $_SERVER['HTTPS'] prüfen, oder?

Gruss,
Chrigu

[Ben]

Joa ... ich habs nun so verstanden, weil es ja eine negierte Abfrage ist. Also ich vergleiche, ob es ungleich ist. Hm ...

[Artemis]

Naja, das ändert ja nichts, ob ich jetzt schreibe

PHP-Code:

if ($_SERVER["SERVER_PORT"]!==443)
  echo "Kein SSL";
else
  echo "SSL"; 


oder

PHP-Code:

if ($_SERVER["SERVER_PORT"]===443)
  echo "SSL";
else
  echo "Kein SSL"; 


Gästern spät gewesen Ben, oder irre ich mich jetzt total?

Naja, dejans Variante und die Überprüfung auf den Port sollte reichen, sicherer gehts meiner Meinung nach nicht.

[Ben]

Heute Morgen war ich noch bei meinen $o, $f, $t, $x ... .. und gestern .. joa, müde.

Danke.
Hab für mich die beste Lösung erhalten.

Grüße, Ben.

[chrigu]

Zitat:

Zitat von Byrel

Geh immer davon aus, das alles was im $_SERVER steht von außen manipuliert werden kann.

Mich persönlich würde jetzt noch die Begründung dazu interessieren?
Hat jemand einen guten Link?

Gruss,
Chrigu

[WarrenFaith]

http://www.owasp.org/index.php/Main_Page
http://phpsec.org/ (siehe deren Linksektion)
http://sillyish.org/security.php

[chrigu]

Ok, aber gibt es ein konkretes Code-Beispiel, wo eine Variabel aus $_SERVER manipuliert wird?
Ich meine jetzt nicht den User-Agent (welcher ja vom Browser kommt), sondern z.b. $_SERVER['HTTPS']?
Mir geht es darum, dass z.b. Shibboleth in dieses globale Array Werte schreibt.. Wenn man sich nicht darauf verlassen könnte, wäre dies ja katastrophal..!

Gruss,
Chrigu

Aja: http://de.wikipedia.org/wiki/Shibboleth_%28Internet%29

[Byrel]

1. Es gibt haufenweise Code Beispiele
2. Kannst ja auch selbst versuchen zu manipulieren

Begründung:
Weil PHP die Sachen teilweise aus dem HTTP Header nimmt bzw. aus irgendeiner anderen manipulierbaren Quelle

MfG Byrel

[WarrenFaith]

Zitat:

1. Es gibt haufenweise Code Beispiele

Jupp, ich hab gesucht, nix gefunden.
Hau mal lieber ein paar Links raus als dauernd zu sagen das es das in Massen gibt.

[Ben]

Habe gestern Nacht auch noch mal gesucht und so wirklich fündig bin ich nicht geworden.
Hat jemand eventuell noch ein paar Verweise? Ein guter reicht natürlich auch schon.