Eine sichere Webseite programmieren - kurze Checkliste

08/12/2014 15:02 ThinSmoke#1

Moin,

auch wenn ich ( seltsamerweise... ) sehr selten danach gefragt werde, was ich tue um eine programmierte Webseite zu sichern, habe ich immer eine PDF ausgeh�ndigt, welche einen kleinen Einblick gibt was ich mache und was die Kunden machen m�ssen um eine Webseite sicher zu halten.

Da ich noch einiges an Domains habe, die zZ. nicht in Benutzung sind habe ich einfach mal eine kleine Webseite aufgesetzt.

Es ist nichts gro�es und auch keine Step-by-Step Anleitung wie man verschiedene Vulns ausnutzt/verhindert/ausb�gelt. Der Sinn ist, das man sich bewusst wird, wo man �berall etwas verbessern kann und sich dann selbstst�ndig auf die Suche nach einer L�sung macht.

Bin f�r jede Kritik offen!

[Only registered and activated users can see links. Click Here To Register...]

Das ganze gibt's auch noch auf deutsch hier:
[Only registered and activated users can see links. Click Here To Register...]

08/13/2014 00:13 watcher777#2

Bisschen knurz und knapp aber verst�ndlich.

08/15/2014 15:13 PseudoPsycho#3

Okay. Das sollte die Grundlagen schonmal abdecken. F�r Beginner sicherlich n�tzlich.

Was die Passw�rter angeht, macht es aber nicht unbedingt Sinn, sie automatisch zu erstellen. Das bewirkt nur, dass Nutzer sie entweder st�ndig vergessen oder irgendwo abspeichern. Wenn man dann auch noch autocoplete (wie beschrieben) abstellt, ist der 0815-Nutzer vollends aufgeschmissen und besucht die Seite nie wieder. Oder aber er schreibt sich 'nen Zettel und pinnt das Passwort an seinen Bildschirm. Auch nicht wirklich optimal. F�r normale Accounts halte ich diese Methode f�r unhaltbar. Das macht nur dann Sinn, wenn wirklich wichtige Daten gesch�tzt werden m�ssen, z.B. die Zugangsdaten f�r den Admin-Bereich, und man die entsprechenden Benutzer zwingen kann, die Passw�rter auswendig zu lernen.

08/15/2014 18:30 ThinSmoke#4

Deshalb steht da ja auch, wenn man sie ein Passwort ausw�hlen l�sst, sie dann zumindest dazu bringt Vorgaben einzuhalten.. Grundlagen? Was h�ttest du denn noch im Kopf was fehlt? Bin f�r alles offen ;)

08/15/2014 20:49 MrDami123#5

Gute Liste gef�llt mir. :)

08/17/2014 11:38 Cr41s3'#6

Gef�llt mir auch sehr gut, danke!

08/17/2014 20:15 tooti#7

Was mir noch fehlt ist der Hinweis das man PDO oder MySqli anstatt Mysql verwenden sollte da die MySQL-Extension ab PHP5.5 nichtmehr dabei ist
([Only registered and activated users can see links. Click Here To Register...])

08/17/2014 22:13 ThinSmoke#8

Wie dir vielleicht aufgefallen ist, geht es bei der Liste um allgemeine Tipps und nicht um programmiersprachen-abh�ngige Informationen.
Ansonsten w�re die Liste auch locker 10mal so lang ausgefallen...

08/18/2014 13:10 NotEnoughForYou#9

Eventuell, was f�r Anf�nger oftmals eine M�glichkeit ist zur einfachen Authentifizierung, dass Passw�rter nicht im Klartext im PHP-Script stehen sollten.

-->

PHP Code:


			
if($user = "Admin" && $pass= "myPass")
{
 echo "Login";
}

Bei einer fehlerhaften PHP-Konfiguration oder einem Serverfehler kann es dann n�mlich passieren, dass der PHP-Code nicht geparst wird sondern dargestellt wird.

Dann eventuell noch der Fall mit

PHP Code:


			
$_SERVER['PHP_SELF']

09/01/2014 13:46 ThinSmoke#10

Naja wo die Logindaten stehen, auch wenn es nat�rlich �u�erst unsauber ist, wenn die einfach mal mitten im Code stehen, sollte es keine Rolle spielen wenn man die Fehler ordentlich abhandelt womit wir dann wieder bei einem der Punkte w�hren die ich bereits genannt habe.