 |
| | Themen-Optionen | Thema durchsuchen |
13.06.2007, 11:48
| Nach oben #1 |
| Benutzer Registriert seit: 12.12.2005
Beiträge: 49
|  Sicherheitsfrage
Guten Tag, Eine kurze Frage zur Sicherheit. Bei einem Projekt steht mir keine Datenbank zur verfügung. Also habe ich einen Ordner angelegt "user", dort befinden sich ordner die den Usernamen des jeweiligen User tragen, in diesem Ordner liegt eine Datei die das Passwort beinhaltet und eine *.txt Datei mit Daten, die nur für den Kunden bestimmt sind. Also in etwa so: [user] -> [usernamexxx] -> -> passwort.txt -> -> geheimedaten.txt -> [nächsteruser] .... Den Ordner "user" schütze ich mit einer .htaccess Datei. Die Frage: Ist es ausreichend? Oder ist es möglich an die Daten trotzdem zu kommen (hacken)? Kann mir da jemand dazu was sagen? Danke!
__________________ Gruß code5 |
|     |
|
13.06.2007, 12:15
| Nach oben #2 |
| Bastian Fenske Registriert seit: 04.01.2006 Ort: Kassel
Beiträge: 853
|
Hi "code5". Prinzipiell würde ich solche Daten immer außerhalb des document_root ablegen. Ich meine, dass es aber auch Webspace gibt, bei dem man diesen nicht frei definieren kann. In sofern taugt natürlich auch eine Zugriffsbeschränkung via .htaccess. Weitere Angriffsszenarien sind: Andere Kunden auf dem Shared Host können lesend auf deine Daten zugreifen. Dazu musst du ggf. die Rechte entsprechend der Angaben deines Providers setzen. Und natürlich die Option, dass durch unsaubere Programmierung andere Benutzer deines Systems oder "externe" Angreifer über dein System auf die Dateien zugreifen können, aber das musst du ja in jedem Fall absichern. BTW: Da du dich ja noch nicht so weit mit dem Thema befasst zu haben scheinst: Session-Daten können auf Shared Hosts mitunter auch von anderen Kunden auf dem Server gelesen werden (wenn ein gemeinsames temp. Verzeichnis (z.B. /tmp) genutzt wird und PHP unter dem selben Benutzer läuft bzw. die Rechte eben entsprechend gesetzt sind). Hier also die Daten explizit im eigenen Space ablegen lassen. Basti |
|
| |
|
13.06.2007, 12:25
| Nach oben #3 | ||
| Benutzer Registriert seit: 12.12.2005
Beiträge: 49
| Zitat:
Also außerhalb des document_root sind die schon, daran hab ich auch schon gedacht. Zitat:
Danke für die schnelle Antwort!
__________________ Gruß code5 | ||
|
| |
|
13.06.2007, 12:45
| Nach oben #4 | |
| Bastian Fenske Registriert seit: 04.01.2006 Ort: Kassel
Beiträge: 853
| Zitat:
Basti | |
|
| |
STIMMT!!!
|
13.06.2007, 18:32
| Nach oben #6 |
| Benjamin Klaile Registriert seit: 02.12.2004 Ort: Remagen
Beiträge: 4.516
|
Fazit: Nur die Daten per HTTP zugänglich machen, die auch zugänglich sein müssen. Das reduziert auf jeden Fall schon mal die Stellen, an denen Sicherheitslecks entstehen können.  Irgendwelche PHP-Skripte, Klassen, Bibliotheken und Co. gehören da z.B. nicht zu. |
|
| |
|
13.06.2007, 22:57
| Nach oben #7 |
| Bastian Fenske Registriert seit: 04.01.2006 Ort: Kassel
Beiträge: 853
|
Und, um das noch ein wenig zu erweitern (auch wenn`s nicht mehr direkt zur Frage passt  Es ist sehr vorteilhaft, auch nur genau Eingangspunkt für deine Web-Anwendung zu haben. Dadurch werden Redundanzen ebenso wie mögliche Fehlerquellen und dadurch Sicherheitslücken minimiert.Basti |
|
| |
|
| Lesezeichen |
« PHP + SQLite: Kann Daten mysteriöserweise nicht verwerten + Problem "undefined offs
|
Probleme mit Floats »
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
| Themen-Optionen | Thema durchsuchen |
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Session Sicherheitsfrage | phpdev | PHP-Programmierung | 24 | 23.08.2007 22:38 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:08 Uhr.