Sicherheit: Woran checkt mein Script, dass es auch von seinem Server aus startet.
Hmm,
.htaccess heißt nicht automatisch Kennwortschutz...
du kannst dir z.B. in einem script den ausführenden teil (z.B: den, der eine Datei schreibt) in ein verzeichnis /schutz/ verlagern und dann mit .htaccess so schützen, dass es nur von einem anderen Script vauf deinem Server ausgeführt werden kann...
es kann dann z.B: mit include("/schutz/script.php") includet werden, nicht aber per Browser über www.domain.de/schutz/script.php ...
CU
Checka
.htaccess heißt nicht automatisch Kennwortschutz...
du kannst dir z.B. in einem script den ausführenden teil (z.B: den, der eine Datei schreibt) in ein verzeichnis /schutz/ verlagern und dann mit .htaccess so schützen, dass es nur von einem anderen Script vauf deinem Server ausgeführt werden kann...
es kann dann z.B: mit include("/schutz/script.php") includet werden, nicht aber per Browser über www.domain.de/schutz/script.php ...
CU
Checka
K
kutiku
Guest
was ist, wenn ein anderes Script dass Script ausführt, welches include("schutz/script2.php") macht? Dann kommt es doch wieder an die Daten!
Comet
Administrator
Hallo!
Tschuldigt die kurze Einmischung.
Das was Checka schreibt ist vollkommen richtig. Ein anderes Script von einem anderen Server darf das Script auch nicht inkludieren weil dies auf dem Server einfach keine Berechtigung dazu hat. Ausserdem gibt es noch die Lösung ein include-Verzeichniss zu erstellen das ausserhalb des Hosts ausgeführt werden kann.
Also damit wäre das ganze am sichersten.
Tschuldigt die kurze Einmischung.
Das was Checka schreibt ist vollkommen richtig. Ein anderes Script von einem anderen Server darf das Script auch nicht inkludieren weil dies auf dem Server einfach keine Berechtigung dazu hat. Ausserdem gibt es noch die Lösung ein include-Verzeichniss zu erstellen das ausserhalb des Hosts ausgeführt werden kann.
Also damit wäre das ganze am sichersten.
K
kutiku
Guest
Ich meinte, dass dieses Script (Script0), welches nur von einem bestimmten Server includet werden darf, eben von diesem Server mit einem Script (script1) includet wird.
Und dann kommt eben das böse fremde Script und liest einfach die Ausgabe von Script1, und schon hat man den Inhalt von Script0
Fazit: Es ist unmöglich 100% sicher zu seien, dass ein echter Browser auf das Script zugreift.
Nicht mal diese aufwendige Verschlüsselung mit JS macht's sicher. Man kann ein Script machen, das das notwendige JS kann (aufwendig), und sich als Browser ausgibt (kein Problem).
Scheiße, oder?
Und dann kommt eben das böse fremde Script und liest einfach die Ausgabe von Script1, und schon hat man den Inhalt von Script0
Fazit: Es ist unmöglich 100% sicher zu seien, dass ein echter Browser auf das Script zugreift.
Nicht mal diese aufwendige Verschlüsselung mit JS macht's sicher. Man kann ein Script machen, das das notwendige JS kann (aufwendig), und sich als Browser ausgibt (kein Problem).
Scheiße, oder?
Zuletzt bearbeitet:
Hmm,
ist schon richtig, kutiku...
als Ansatz mit dem Referer könnt ich mir vorstellen, dass man zunächst einfach mal abfrägt, ob der Referer die vorgeschaltete Seite ist.
wenn du dann noch checkst, dass nix per Adresszeile - if(!$REQUEST_METHOD=="GET") - übergeben wurde, und dass der Referer auch nicht als hidden-Field durch ein Form übergeben wurde - if(!$HTTP_GET_VARS("HTTP_REFERER")) - kannst du schon mal relativ sicher sein, dass das script auch wirklich von deinem Formular aufgerufen wurde...
Um die sache dann noch etwas gegen Socket-Angriffe abzusichern kannst du ja z.B. einfach auf der Formularseite als hidden-Field die remote-ip des Angreifers verschüsselt übertragen und dann auf der scriptseite wieder entschlüsseln und verifizieren. Da das Verschlüsselungspasswort ja nur Dir bekannt ist, tut man sich schon recht schwer, das rauszubekommen...
CU
Checka
ist schon richtig, kutiku...
als Ansatz mit dem Referer könnt ich mir vorstellen, dass man zunächst einfach mal abfrägt, ob der Referer die vorgeschaltete Seite ist.
wenn du dann noch checkst, dass nix per Adresszeile - if(!$REQUEST_METHOD=="GET") - übergeben wurde, und dass der Referer auch nicht als hidden-Field durch ein Form übergeben wurde - if(!$HTTP_GET_VARS("HTTP_REFERER")) - kannst du schon mal relativ sicher sein, dass das script auch wirklich von deinem Formular aufgerufen wurde...
Um die sache dann noch etwas gegen Socket-Angriffe abzusichern kannst du ja z.B. einfach auf der Formularseite als hidden-Field die remote-ip des Angreifers verschüsselt übertragen und dann auf der scriptseite wieder entschlüsseln und verifizieren. Da das Verschlüsselungspasswort ja nur Dir bekannt ist, tut man sich schon recht schwer, das rauszubekommen...
CU
Checka
K
kutiku
Guest
Wäre ich der Angreifer, würde ich mit einem Script angreifen, dass sich als Browser ausgibt (Socketzeugs),
Also mit echtem Referer und User-Agent. Dann würde ich das versteckte hidden feld mit der verschlüsselten IP(die vom Angreiferserver) auslesen, und mit dem Inhalt das Formular senden.
Tja
Also mit echtem Referer und User-Agent. Dann würde ich das versteckte hidden feld mit der verschlüsselten IP(die vom Angreiferserver) auslesen, und mit dem Inhalt das Formular senden.
Tja
wenn ihr alle so schlau seid dann probierts doch, nur ein tip es hat eigendlichnix mit browser zu tun!
wenn ihrs schafft auszulesen dann macht und zeigt!
so und jetztmal noch zur sache!
es ging ja da rum das man ein script nicht von einem fremden server aufrufen zu können, dieses ziel is erreicht, denn der fremde server kennt die id nicht die zum aufrufen des scriptes benötigt wird! es war auch nur die rede dafon das man es von einem externen server nicht aufrufen kann, von intern is ja klar aber extern gehts net!
p.s. das mit dem js habe ich so schön gemacht es is zwar möglich das auszulesen aber da hab ich ein paar fallen eingebaut versuche es mal *fg* dat schffste nicht.
cu xxoes
wenn ihrs schafft auszulesen dann macht und zeigt!
so und jetztmal noch zur sache!
es ging ja da rum das man ein script nicht von einem fremden server aufrufen zu können, dieses ziel is erreicht, denn der fremde server kennt die id nicht die zum aufrufen des scriptes benötigt wird! es war auch nur die rede dafon das man es von einem externen server nicht aufrufen kann, von intern is ja klar aber extern gehts net!
p.s. das mit dem js habe ich so schön gemacht es is zwar möglich das auszulesen aber da hab ich ein paar fallen eingebaut versuche es mal *fg* dat schffste nicht.
cu xxoes
Zuletzt bearbeitet:
K
kutiku
Guest
Klar, das primäre Ziel ist erreicht...Aber wir können doch ruhig ein bissal weiter denken.
In diesem Sinne werde ich mich (wenn ich Zeit habe) in den nächsten Tagen mal mit deinem "System" auseinander setzten.
In diesem Sinne werde ich mich (wenn ich Zeit habe) in den nächsten Tagen mal mit deinem "System" auseinander setzten.
K
kutiku
Guest
Ne, ich meinte weiterdenken im Sinne von über das Thema hinaus denken (also "Socketangriff" vom anderen Server). Also was wir bereits machen, und scheinbar (warte bis ich mich damit auseinandersetzt 
) mit deinem Script erreicht ist.
) mit deinem Script erreicht ist.
K
kutiku
Guest
Ich lass es dich dann wissen
jetzt werd' ich erst mal schlafen gehen, wenn ich wieder fitt bin sag ich's Dir
jetzt werd' ich erst mal schlafen gehen, wenn ich wieder fitt bin sag ich's Dir
K
kutiku
Guest
Schummeln gilt nicht
Ich werd's erst mal ohne Hilfe versuchen (Aber nicht jetzt)
Ich werd's erst mal ohne Hilfe versuchen (Aber nicht jetzt)
K
kutiku
Guest
Warte
Lass Dir mal ein bissal Zeit, ich meld mich schon, wenn ich damit anfange.
Ich bin zur Zeit sehr beschäftigt, und meist unausgeschlafen.
PAUSE
Lass Dir mal ein bissal Zeit, ich meld mich schon, wenn ich damit anfange.
Ich bin zur Zeit sehr beschäftigt, und meist unausgeschlafen.
PAUSE