Sicherheitsfrage

code5 · 13.06.2007, 11:48

Guten Tag,

Eine kurze Frage zur Sicherheit.
Bei einem Projekt steht mir keine Datenbank zur verfügung. Also habe ich einen Ordner angelegt "user", dort befinden sich ordner die den Usernamen des jeweiligen User tragen, in diesem Ordner liegt eine Datei die das Passwort beinhaltet und eine *.txt Datei mit Daten, die nur für den Kunden bestimmt sind.
Also in etwa so:
[user]
-> [usernamexxx]
-> -> passwort.txt
-> -> geheimedaten.txt
-> [nächsteruser]
....
Den Ordner "user" schütze ich mit einer .htaccess Datei.
Die Frage: Ist es ausreichend? Oder ist es möglich an die Daten trotzdem zu kommen (hacken)?

Kann mir da jemand dazu was sagen?

Danke!

Basti · 13.06.2007, 12:15

Hi "code5".

Prinzipiell würde ich solche Daten immer außerhalb des document_root ablegen. Ich meine, dass es aber auch Webspace gibt, bei dem man diesen nicht frei definieren kann. In sofern taugt natürlich auch eine Zugriffsbeschränkung via .htaccess.

Weitere Angriffsszenarien sind: Andere Kunden auf dem Shared Host können lesend auf deine Daten zugreifen. Dazu musst du ggf. die Rechte entsprechend der Angaben deines Providers setzen.

Und natürlich die Option, dass durch unsaubere Programmierung andere Benutzer deines Systems oder "externe" Angreifer über dein System auf die Dateien zugreifen können, aber das musst du ja in jedem Fall absichern.

BTW:
Da du dich ja noch nicht so weit mit dem Thema befasst zu haben scheinst: Session-Daten können auf Shared Hosts mitunter auch von anderen Kunden auf dem Server gelesen werden (wenn ein gemeinsames temp. Verzeichnis (z.B. /tmp) genutzt wird und PHP unter dem selben Benutzer läuft bzw. die Rechte eben entsprechend gesetzt sind). Hier also die Daten explizit im eigenen Space ablegen lassen.

Basti

code5 · 13.06.2007, 12:25

Zitat:

Zitat von Basti

BTW:
Da du dich ja noch nicht so weit mit dem Thema befasst zu haben scheinst
Basti

So ist es!
Also außerhalb des document_root sind die schon, daran hab ich auch schon gedacht.

Zitat:

Zitat von Basti

ession-Daten können auf Shared Hosts mitunter auch von anderen Kunden auf dem Server gelesen werden

Das wusste ich nicht. Gut muss mir mal das genau anschauen!

Danke für die schnelle Antwort!

Basti · 13.06.2007, 12:45

Zitat:

Zitat von code5

Also außerhalb des document_root sind die schon, daran hab ich auch schon gedacht.

Dann brauchst du keine .htaccess, da ein direkter Zugriff über HTTP ja nicht möglich ist (es sei denn, es gibt noch andere Zugänge, z.B. Subdomains oder andere Domains, in deren doc_root das Verzeichnis liegt).

Basti

code5 · 13.06.2007, 12:50

STIMMT!!!
.........Peinlich!

Ben · 13.06.2007, 18:32

Fazit:
Nur die Daten per HTTP zugänglich machen, die auch zugänglich sein müssen.
Das reduziert auf jeden Fall schon mal die Stellen, an denen Sicherheitslecks entstehen können.

Irgendwelche PHP-Skripte, Klassen, Bibliotheken und Co. gehören da z.B. nicht zu.

Basti · 13.06.2007, 22:57

Und, um das noch ein wenig zu erweitern (auch wenn`s nicht mehr direkt zur Frage passt

Es ist sehr vorteilhaft, auch nur genau Eingangspunkt für deine Web-Anwendung zu haben. Dadurch werden Redundanzen ebenso wie mögliche Fehlerquellen und dadurch Sicherheitslücken minimiert.

Basti

13.06.2007, 11:48	Nach oben #1
code5 Benutzer Registriert seit: 12.12.2005 Beiträge: 49	Sicherheitsfrage Guten Tag, Eine kurze Frage zur Sicherheit. Bei einem Projekt steht mir keine Datenbank zur verfügung. Also habe ich einen Ordner angelegt "user", dort befinden sich ordner die den Usernamen des jeweiligen User tragen, in diesem Ordner liegt eine Datei die das Passwort beinhaltet und eine *.txt Datei mit Daten, die nur für den Kunden bestimmt sind. Also in etwa so: [user] -> [usernamexxx] -> -> passwort.txt -> -> geheimedaten.txt -> [nächsteruser] .... Den Ordner "user" schütze ich mit einer .htaccess Datei. Die Frage: Ist es ausreichend? Oder ist es möglich an die Daten trotzdem zu kommen (hacken)? Kann mir da jemand dazu was sagen? Danke! __________________ Gruß code5

13.06.2007, 12:50	Nach oben #5
code5 Benutzer Registriert seit: 12.12.2005 Beiträge: 49	STIMMT!!! .........Peinlich! __________________ Gruß code5

13.06.2007, 18:32	Nach oben #6
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Remagen Beiträge: 4.619	Fazit: Nur die Daten per HTTP zugänglich machen, die auch zugänglich sein müssen. Das reduziert auf jeden Fall schon mal die Stellen, an denen Sicherheitslecks entstehen können. Irgendwelche PHP-Skripte, Klassen, Bibliotheken und Co. gehören da z.B. nicht zu. __________________ Mehr TuS Koblenz geht nicht ... Aktuell ... - Neue Gegner für die TuS: 1.FC Nürnberg - 5 neue Gegner 2008/09 - Informationsveranstaltung für Mitglieder - Förderkasse füllt sich - B-Jugend Rheinlandpokalfinale terminiert - A-Jugend I gewinnt Rheinlandpokal

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Session Sicherheitsfrage	phpdev	PHP-Programmierung	24	23.08.2007 22:38

13.06.2007, 12:15	Nach oben #2
Basti Erfahrener Benutzer Registriert seit: 04.01.2006 Ort: Kassel Beiträge: 789	Hi "code5". Prinzipiell würde ich solche Daten immer außerhalb des document_root ablegen. Ich meine, dass es aber auch Webspace gibt, bei dem man diesen nicht frei definieren kann. In sofern taugt natürlich auch eine Zugriffsbeschränkung via .htaccess. Weitere Angriffsszenarien sind: Andere Kunden auf dem Shared Host können lesend auf deine Daten zugreifen. Dazu musst du ggf. die Rechte entsprechend der Angaben deines Providers setzen. Und natürlich die Option, dass durch unsaubere Programmierung andere Benutzer deines Systems oder "externe" Angreifer über dein System auf die Dateien zugreifen können, aber das musst du ja in jedem Fall absichern. BTW: Da du dich ja noch nicht so weit mit dem Thema befasst zu haben scheinst: Session-Daten können auf Shared Hosts mitunter auch von anderen Kunden auf dem Server gelesen werden (wenn ein gemeinsames temp. Verzeichnis (z.B. /tmp) genutzt wird und PHP unter dem selben Benutzer läuft bzw. die Rechte eben entsprechend gesetzt sind). Hier also die Daten explizit im eigenen Space ablegen lassen. Basti

13.06.2007, 22:57	Nach oben #7
Basti Erfahrener Benutzer Registriert seit: 04.01.2006 Ort: Kassel Beiträge: 789	Und, um das noch ein wenig zu erweitern (auch wenn`s nicht mehr direkt zur Frage passt Es ist sehr vorteilhaft, auch nur genau Eingangspunkt für deine Web-Anwendung zu haben. Dadurch werden Redundanzen ebenso wie mögliche Fehlerquellen und dadurch Sicherheitslücken minimiert. Basti

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken