[Release] PHP-Addon Wie mache ich mein Homepage sicher PHP-Script

[methosiea]

Closed

[.Padde]

Sehr schönes Release. :*
Danke dir für die Arbeit.

[clad3815]

wtf ? So useless code, check your variables

[Mashkin]

Quote:

Originally Posted by methosiea

PHP Code:

        if (!isset($_SESSION['HTTP_REFERER'])) {
            $_SESSION['HTTP_REFERER'] = TRUE;
            sleep(1);
        } else if (session_regenerate_id(TRUE) != TRUE) 
            exit;
    
        $var['COOKIES'] = array_keys($_COOKIE);
        for ($var['a'] = 0; $var['a'] < count($var['COOKIES']); $var['a']++) 
            setcookie($var['COOKIES'][$var['a']], '', (time() - 1)); 


Was zum F... Teufel soll das sein?
Abgesehen von den ersten Zeilen, die anscheinend alle Proxy-Benutzer aussperren sollen, sehe ich überhaupt keinen Sinn in deinem Code.
Insbesondere die Bedeutung der zitierten Zeilen entzieht sich meinem Verständnis.
Warum "löschst" du alle Cookies?

Außerdem tauchen mehrmals Indizes im $var-Array auf, die nicht existieren, z.B. "a" und "b" in deinem "Anti-Proxy"-Teil.


Schlussendlich die Frage aller Fragen:
Was ist an einer Seite mit diesem "Add-On" nun "sicher"?

[#SoNiice]

Ich nehme an, dass er versucht Bot User zu blockieren?

[#dynastie]

Seine Homepage, bzw. seine "Scripts" oder generell seinen Webserver sicher zu machen, hat nicht viel, bzw. so gut wie gar nichts mit dem Code zu tun.

Man muss einfach wichtige, vorallem richtige Konfigurationen am Webserver sowie an PHP(5) vornehmen. Außerdem sollte man auf suPHP umsteigen:

Quote:

suPHP is a tool for executing PHP scripts with the permissions of their owners. It consists of an Apache module (mod_suphp) and a setuid root binary (suphp) that is called by the Apache module to change the uid of the process executing the PHP interpreter.

Außerdem gibt es einige Kleinigkeiten, die Anfängern dabei helfen, ihren Webserver bzw. PHP richtig zu konfigurieren:

Quote:

PhpSecInfo provides an equivalent to the phpinfo() function that reports security information about the PHP environment, and offers suggestions for improvement. It is not a replacement for secure development techniques, and does not do any kind of code or app auditing, but can be a useful tool in a multilayered security approach.

Weiteres wird unser lieber Onkel google verraten.

PS: Wenn man selbst wenig bis keine Ahnung hat, sollte man sich auch mit Äußerungen über spezielle und wichtige Themen zurückhalten, da es sehr unvorteilhaft für andere User werden kann.

[methosiea]

Quote:

Originally Posted by Mashkin

Was zum F... Teufel soll das sein?
Abgesehen von den ersten Zeilen, die anscheinend alle Proxy-Benutzer aussperren sollen, sehe ich überhaupt keinen Sinn in deinem Code.
Insbesondere die Bedeutung der zitierten Zeilen entzieht sich meinem Verständnis.
Warum "löschst" du alle Cookies?

Außerdem tauchen mehrmals Indizes im $var-Array auf, die nicht existieren, z.B. "a" und "b" in deinem "Anti-Proxy"-Teil.


Schlussendlich die Frage aller Fragen:
Was ist an einer Seite mit diesem "Add-On" nun "sicher"?

Quote:

Originally Posted by SoNiice

Ich nehme an, dass er versucht Bot User zu blockieren?

Quote:

Originally Posted by #dynastie

Seine Homepage, bzw. seine "Scripts" oder generell seinen Webserver sicher zu machen, hat nicht viel, bzw. so gut wie gar nichts mit dem Code zu tun.

Man muss einfach wichtige, vorallem richtige Konfigurationen am Webserver sowie an PHP(5) vornehmen. Außerdem sollte man auf suPHP umsteigen:



Außerdem gibt es einige Kleinigkeiten, die Anfängern dabei helfen, ihren Webserver bzw. PHP richtig zu konfigurieren:



Weiteres wird unser lieber Onkel google verraten.

PS: Wenn man selbst wenig bis keine Ahnung hat, sollte man sich auch mit Äußerungen über spezielle und wichtige Themen zurückhalten, da es sehr unvorteilhaft für andere User werden kann.

Ich hatte dies kaum überprüft, sollte natürlich sein man benutze keine $_SESSION Scripts, was jedoch sehr verbeitet ist. Jedoch kann ich gerne und gut sagen, dass ich viel Ahnung hab', die $var wird von mir öfters mal definiert. Um keine file_get_contents zu benutzen.

Dies werd' ich aber ein anderes Mal erklären. Da ich ebenfalls keine Cookies verwende, ist das ganze schon ein Wenig eigen.

Wollte halt meinen PC etwas aufräumen. Was ich nun ebenfalls geschafft. Vielleicht gehe ich anders wo noch etwas genauer drauf ein.

Ich könnt' dir aber auch ein Tutorial machen, wie man einen Emulator programmiert jedoch will ds die breite Masse nicht. Lass mir aber was einfallen was nützlich und trotzdem einfach ist. Da sich viele dran bereichern die nicht Ahnung von der Materie haben.

Grüsse nun alle, das zukünftig werd' ich mir solche Fehler nicht mehr erlauben. Ich hab' da auch kaum drüber geguckt.

[.Inya]

Quote:

Originally Posted by methosiea

Ich hatte dies kaum überprüft, sollte natürlich sein man benutze keine $_SESSION Scripts, was jedoch sehr verbeitet ist. Jedoch kann ich gerne und gut sagen, dass ich viel Ahnung hab', die $var wird von mir öfters mal definiert. Um keine file_get_contents zu benutzen.

Dies werd' ich aber ein anderes Mal erklären. Da ich ebenfalls keine Cookies verwende, ist das ganze schon ein Wenig eigen.

Wollte halt meinen PC etwas aufräumen. Was ich nun ebenfalls geschafft. Vielleicht gehe ich anders wo noch etwas genauer drauf ein.

Ich könnt' dir aber auch ein Tutorial machen, wie man einen Emulator programmiert jedoch will ds die breite Masse nicht. Lass mir aber was einfallen was nützlich und trotzdem einfach ist. Da sich viele dran bereichern die nicht Ahnung von der Materie haben.

Grüsse nun alle, das zukünftig werd' ich mir solche Fehler nicht mehr erlauben. Ich hab' da auch kaum drüber geguckt.

Keine cookies und keine Sessions. Jetzt frage ich mich... wie schaffst dus dass sich leute bei dir einloggen können?

[methosiea]

Quote:

Originally Posted by Lord Inya

Keine cookies und keine Sessions. Jetzt frage ich mich... wie schaffst dus dass sich leute bei dir einloggen können?

Dies geschiet ganz einfach... mit Sessions nehme ich an das die meisten diese Globale meinen:

PHP Code:

$_SESSION 


Ich verrate nur das es auch durch DB (phpMyAdmin wird bei Xtensions von nöten sein) geht. $_SESSION Injection ist zwar nicht weit verbreitet, aber ich denke es ist genau das was es gefährlich macht.

Falls dich dieses Thema mit wie ohne $_SESSION (was eigentlcih auch Cookies sind) interessiert skype mich an: methosiea

Vllt release ich noch was aktuelles aber halt in der Coding Abteilung um das wieder gut zu machen

Datenbankstrukturierung fällt mir so spontan ein. Grüsse Methosiea

[NotEnoughForYou]

Quote:

$_SESSION Injection ist zwar nicht weit verbreitet, aber ich denke es ist genau das was es gefährlich macht.

Ich denke du meinst Session Hijacking und nicht injection. Falls du injection meinst, so ist das durch 0815 Code sehr schnell verhindert.

Quote:

Ich verrate nur das es auch durch DB (phpMyAdmin wird bei Xtensions von nöten sein) geht.

?? Was hat phpMyAdmin damit zu tun? phpMyAdmin ist nur eine UI für einen vereinfachten Datenbankzugriff / Kontrolle / Interaktion

Quote:

Jedoch kann ich gerne und gut sagen, dass ich viel Ahnung hab'

Nichts für ungut, dazu passt der Codeausschnitt den Mashkin gequotet hat nicht.

[methosiea]

Quote:

Originally Posted by NotEnoughForYou

Ich denke du meinst Session Hijacking und nicht injection. Falls du injection meinst, so ist das durch 0815 Code sehr schnell verhindert.


?? Was hat phpMyAdmin damit zu tun? phpMyAdmin ist nur eine UI für einen vereinfachten Datenbankzugriff / Kontrolle / Interaktion


Nichts für ungut, dazu passt der Codeausschnitt den Mashkin gequotet hat nicht.

1. Ehm nein, (dies natürlich auch) eher verallgemeinert. Hijacking ist da halt es weit hergegriffen und mit BruteforceMethoden vergleichbar (aber kenne mich mit dem Hacken nicht so aus, gibt vllt. auch einfacheres) ...die Chance ist dabei gering.

2. Brauchst du nicht unbedingt. Aber dann solltest du bereits Fortgeschrittener Datenbankprommierer sein. Da die meisten Xtensions für phpmyAdmin sind.

3. Ich schrieb dazu das es vor 2 Jahren war als ich's geschrieben hab'.

Ich studiere ja Server/Webtechnik, besuche Kurse an der einzigen dafür geplanten Hochschule im Land (ETH, ICT)

.Nunja, bin halt ein langsamer Schreiber und veröffentliche deshalb ungerne Aktuelles, weil ich mir dann sage ..wäre schade. Aber wenn du mal was Neues seh'n möchtest gerne bei Skype Wenn ich Tuts mache in der Coding Section...ja mal gucken. <- Ich geb zu einfach ein Script vom PC zunehmen und veröffentlich ohne dabei darauf einzugehen und ohne es kaum angeguckt zu haben...naja war doof

[SandMann016]

Quote:

Originally Posted by methosiea

1. Ehm nein, (dies natürlich auch) eher verallgemeinert. Hijacking ist da halt es weit hergegriffen und mit BruteforceMethoden vergleichbar (aber kenne mich mit dem Hacken nicht so aus, gibt vllt. auch einfacheres) ...die Chance ist dabei gering.

2. Brauchst du nicht unbedingt. Aber dann solltest du bereits Fortgeschrittener Datenbankprommierer sein. Da die meisten Xtensions für phpmyAdmin sind.

3. Ich schrieb dazu das es vor 2 Jahren war als ich's geschrieben hab'.

Ich studiere ja Server/Webtechnik, besuche Kurse an der einzigen dafür geplanten Hochschule im Land (ETH, ICT)

.Nunja, bin halt ein langsamer Schreiber und veröffentliche deshalb ungerne Aktuelles, weil ich mir dann sage ..wäre schade. Aber wenn du mal was Neues seh'n möchtest gerne bei Skype Wenn ich Tuts mache in der Coding Section...ja mal gucken. <- Ich geb zu einfach ein Script vom PC zunehmen und veröffentlich ohne dabei darauf einzugehen und ohne es kaum angeguckt zu haben...naja war doof

SESSION ist kein Cookie, lediglich die Session_Id die den Benutzer identifiziert.

Hijacking ist auch relativ schnell vom Tisch, wenn man "wichtige" oder "große" Projekte hat(, wenn zB Guthaben auf einem Account gespeichert wird o.ä. ) dann vergleicht man natürlich vom Session->LoggedIn_Account die IP-Adresse und ggfs. den Browser-Agent.
(Keine 6 Zeilen Code)

Xtensions gibt es nicht, das heißt Erweiterung oder auf englisch extension.

Für phpmyadmin gibt es keine Erweiterungen, das was du redest ist dummes Geschwätz.... phpmyadmin ist ein Web-MySQL Client der lediglich zur Wartung und zur grafischen Bedingung der Datenbank geeignet ist. Hier ist es genau das gegenteil dieser Client ist für Anfänger besonderst gut, nicht jedoch für Profis...

Anscheinend bist du nicht sonderlich gut in dem was du "studierst".

[methosiea]

Quote:

Originally Posted by SandMann016

SESSION ist kein Cookie, lediglich die Session_Id die den Benutzer identifiziert.

Hijacking ist auch relativ schnell vom Tisch, wenn man "wichtige" oder "große" Projekte hat(, wenn zB Guthaben auf einem Account gespeichert wird o.ä. ) dann vergleicht man natürlich vom Session->LoggedIn_Account die IP-Adresse und ggfs. den Browser-Agent.
(Keine 6 Zeilen Code)

Xtensions gibt es nicht, das heißt Erweiterung oder auf englisch extension.

Für phpmyadmin gibt es keine Erweiterungen, das was du redest ist dummes Geschwätz.... phpmyadmin ist ein Web-MySQL Client der lediglich zur Wartung und zur grafischen Bedingung der Datenbank geeignet ist. Hier ist es genau das gegenteil dieser Client ist für Anfänger besonderst gut, nicht jedoch für Profis...

Anscheinend bist du nicht sonderlich gut in dem was du "studierst".

Beim 1. Stimme ich dir klar zu, so hab' ich das ebenfalls gesagt. Aber was willst du bitte mit dem Browser Agent, da ist die Tabelle an Noname Browsern zu gross. Wenn du Sessions benutzen möchtest Überprüfe die IP -> Ändere die Session_id zur IP und überprüfe ob sie übereinstimmen

2. Also Xtensions heisst Extensions=? Meistens steht das X für Ex oder Extensions. <- Ja ist doch so, hab ich was anderes Behauptet, nein.

3. Ehm nein, vllt formulier' ich das etwas Falsch mit Erweiterungen red ich von der Entwicklung der Oberfläche. WEB-Mysql?^^ Also bitte es ist eine grafische öberfläche die dir als Interface dient. Mit der Zeit kamen jedoch Globalen etc. dazu. Und dies soll' nicht gut für Profis sein? Wieso, weil's ei'm das Leben einfach macht. Ich bin kein Fan von MySQL, aber ich benutz' es weil's viele tun. Es ist nicht schlecht. Und etwas besseres bekommt man nicht kostenlos. Nur damit das mal gesagt ist.

4. Du hast viel Ahnung (dafür, dass du dich nicht intensiv damit beschäftigst), das bestreite ich nicht. Deine Aussage, naja, ich komm' immer zu spät aber sonst bin ich Klassenstärkster.

PS: SESSIONS sind sozusagen Cookies Daten wer...ach egal entweder weiss man's oder nicht.
Deutsch ist nicht meine Stärke also entschudige ich mich dafür.
Sonst grüsse ich alle herzlich

[methosiea]

Quote:

Originally Posted by nybυ

Merkt man kaum.

Falls dies ernst gemeint ist, danke. Ich versuch' mich jeden Tag, denn ich find sie schön. Deutsch hat was.

Grüsse dich

[DasSchwarzeT]

Quote:

Originally Posted by SandMann016

Oh man alles einfach nur Bullshit gelaber, ich tue mir das nicht an.

Man, da ist Fremdschämen kein Wort mehr für...

Und naja, ich habe mich früher mal damit "intensiv" damit beschäftigt, ich habe ja zufällig eine Webseite die zu Hochzeiten 2 Millionen registrierte Benutzer aufwies. Aber anscheinend hast du ja mehr Ahnung davon. Ok.

Meine Facebook Fanpage hat 12 Milliarden Likes

Wann wird hier eigentlich mal geclosed? Fairerweise solltest du, methosia, ein Report abschicken.