|
You last visited: Today at 02:52
Advertisement
Eine sichere Webseite programmieren - kurze Checkliste
Discussion on Eine sichere Webseite programmieren - kurze Checkliste within the Web Development forum part of the Coders Den category.
08/12/2014, 15:02
|
#1
|
elite*gold: 49 
Join Date: Sep 2008
Posts: 906
Received Thanks: 600
|
Eine sichere Webseite programmieren - kurze Checkliste
Moin,
auch wenn ich ( seltsamerweise... ) sehr selten danach gefragt werde, was ich tue um eine programmierte Webseite zu sichern, habe ich immer eine PDF ausgehändigt, welche einen kleinen Einblick gibt was ich mache und was die Kunden machen müssen um eine Webseite sicher zu halten.
Da ich noch einiges an Domains habe, die zZ. nicht in Benutzung sind habe ich einfach mal eine kleine Webseite aufgesetzt.
Es ist nichts großes und auch keine Step-by-Step Anleitung wie man verschiedene Vulns ausnutzt/verhindert/ausbügelt. Der Sinn ist, das man sich bewusst wird, wo man überall etwas verbessern kann und sich dann selbstständig auf die Suche nach einer Lösung macht.
Bin für jede Kritik offen!
Das ganze gibt's auch noch auf deutsch hier:
|
|
|
|
08/13/2014, 00:13
|
#2
|
elite*gold: 2
Join Date: Aug 2014
Posts: 49
Received Thanks: 10
|
Bisschen knurz und knapp aber verständlich.
|
|
|
|
|
08/15/2014, 15:13
|
#3
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Okay. Das sollte die Grundlagen schonmal abdecken. Für Beginner sicherlich nützlich.
Was die Passwörter angeht, macht es aber nicht unbedingt Sinn, sie automatisch zu erstellen. Das bewirkt nur, dass Nutzer sie entweder ständig vergessen oder irgendwo abspeichern. Wenn man dann auch noch autocoplete (wie beschrieben) abstellt, ist der 0815-Nutzer vollends aufgeschmissen und besucht die Seite nie wieder. Oder aber er schreibt sich 'nen Zettel und pinnt das Passwort an seinen Bildschirm. Auch nicht wirklich optimal. Für normale Accounts halte ich diese Methode für unhaltbar. Das macht nur dann Sinn, wenn wirklich wichtige Daten geschützt werden müssen, z.B. die Zugangsdaten für den Admin-Bereich, und man die entsprechenden Benutzer zwingen kann, die Passwörter auswendig zu lernen.
|
|
|
|
|
08/15/2014, 18:30
|
#4
|
elite*gold: 49
Join Date: Sep 2008
Posts: 906
Received Thanks: 600
|
Deshalb steht da ja auch, wenn man sie ein Passwort auswählen lässt, sie dann zumindest dazu bringt Vorgaben einzuhalten.. Grundlagen? Was hättest du denn noch im Kopf was fehlt? Bin für alles offen 
|
|
|
|
|
08/15/2014, 20:49
|
#5
|
elite*gold: 56
Join Date: Oct 2010
Posts: 3,409
Received Thanks: 1,219
|
Gute Liste gefällt mir. 
|
|
|
|
|
08/17/2014, 11:38
|
#6
|
elite*gold: 504
Join Date: Jul 2010
Posts: 7,771
Received Thanks: 510
|
Gefällt mir auch sehr gut, danke!
|
|
|
|
|
08/17/2014, 20:15
|
#7
|
elite*gold: 18
Join Date: Jun 2009
Posts: 1,089
Received Thanks: 301
|
Was mir noch fehlt ist der Hinweis das man PDO oder MySqli anstatt Mysql verwenden sollte da die MySQL-Extension ab PHP5.5 nichtmehr dabei ist
( )
|
|
|
|
|
08/17/2014, 22:13
|
#8
|
elite*gold: 49
Join Date: Sep 2008
Posts: 906
Received Thanks: 600
|
Wie dir vielleicht aufgefallen ist, geht es bei der Liste um allgemeine Tipps und nicht um programmiersprachen-abhängige Informationen.
Ansonsten wäre die Liste auch locker 10mal so lang ausgefallen...
|
|
|
|
|
08/18/2014, 13:10
|
#9
|
elite*gold: 0
Join Date: Jun 2010
Posts: 3,406
Received Thanks: 2,024
|
Eventuell, was für Anfänger oftmals eine Möglichkeit ist zur einfachen Authentifizierung, dass Passwörter nicht im Klartext im PHP-Script stehen sollten.
-->
PHP Code:
if($user = "Admin" && $pass= "myPass")
{
echo "Login";
}
Bei einer fehlerhaften PHP-Konfiguration oder einem Serverfehler kann es dann nämlich passieren, dass der PHP-Code nicht geparst wird sondern dargestellt wird.
Dann eventuell noch der Fall mit
PHP Code:
$_SERVER['PHP_SELF']
|
|
|
|
|
09/01/2014, 13:46
|
#10
|
elite*gold: 49
Join Date: Sep 2008
Posts: 906
Received Thanks: 600
|
Naja wo die Logindaten stehen, auch wenn es natürlich äußerst unsauber ist, wenn die einfach mal mitten im Code stehen, sollte es keine Rolle spielen wenn man die Fehler ordentlich abhandelt womit wir dann wieder bei einem der Punkte währen die ich bereits genannt habe.
|
|
|
|
 |
Similar Threads
|
[Buying] Suche eine Person die mir eine Webseite aufbaut!
06/17/2014 - Trading - 3 Replies
Hey Leute,
ich suche eine Person die mir diese Webseite Klick nachbaut, oder zumindest eine ähnliche.
Es soll eine Art Blog sein, indem ich aber auch Sachen von Amazon verlinken möchte, und damit werbe - den Leuten beim abnehmen zu helfen oder eben beim Muskelaufbau.
Bezahlung wäre per Überweisung, PayPal, PSC oder eGold.
Wenn jemand Interesse hat, bitte ich um Post UND PN!:)
|
[Buying] Suche eine Person die mir eine Webseite aufbaut!
06/16/2014 - Trading - 2 Replies
Hey Leute,
ich suche eine Person die mir diese Webseite Klick nachbaut, oder zumindest eine ähnliche.
Es soll eine Art Blog sein, indem ich aber auch Sachen von Amazon verlinken möchte, und damit werbe - den Leuten beim abnehmen zu helfen oder eben beim Muskelaufbau.
Bezahlung wäre per Überweisung, PayPal, PSC oder eGold.
Wenn jemand Interesse hat, bitte ich um Post UND PN!:)
|
Wie sichere ich eine hompage?
08/06/2011 - Main - 2 Replies
Wie sichere ich eine Webseite ? also ich möchte eine seite Crash sicher machen das man die nicht flooden kann oder so etwas wie macht man das?
|
All times are GMT +1. The time now is 02:52.
|
|
