:: Buchempfehlung ::

Kukulkan · #1 15.12.2007, 10:23:29

Hallo,

An manchen Stellen habe ich das Problem, dass aktuell GET Parameter per URL zur Übergabe von Daten an ein neues POPUP-Fenster übergeben werden. Wenn da jemand aus Spass den Aufruf nimmt und einfach andere Nummern nimmt (ID's aus der Datenbank), dann kann das ziemlich Verwirrung streuen. Gibt es da eine erprobte und empfolene Technik? Oder soll ich die Parameter selbst ver- und wieder entschlüsseln (zB AES und Base64)?

Es geht bei mir in der Regel um Nummern (1 bis ein paar Mio). Texte und Pfade übermittle ich bereits XOR verschlüsselt. Aber bei Zahlen ist das ja zu simpel zu knacken. Ich frag mich, was da die beste Methode ist?

Um das zu verdeutlichen:
In diesem Dialog in dem ich das gerade schreibe ist folgender Link im Quelltext zu sehen: /forum/newthread.php?do=postthread&f=13&nojs=1#usercptools

Was passiert hier zum Beispiel, wenn ich f=13 zu f=8 mache? Das mag hier kaum tragisch sein, bei mir aber durchaus! Und eine Gegenprüfung ist mit zusätzlichen SELECT's und deren Auswertung verbunden. Das will ich vermeiden.

Kukulkan

#2 15.12.2007, 10:43:35

Sorry, aber das halte ich für Unsinn!!

Egal welche Verschlüsselungstechnik, du anwendest, du MUSST weiterhin alle Parameter pingelig prüfen! Also kannst du die Verschlüsselung auch gleich weglassen !!

Zitat:

Was passiert hier zum Beispiel, wenn ich f=13 zu f=8 mache?

Ein unbedarfter normaler User, wird dort nicht rumpfuschen. Und ein Angreifer, wird sich nicht wundern, wenn was anderes kommt.

Es ist deine Aufgabe, dafür zu sorgen, dass er nix kaputtmachen kann.

Tumasch · #3 17.12.2007, 10:52:06

wie schon rambi sagt: Es ist deine Aufgabe zu prüfen, ob der aktuelle User diese Funktion ausführen darf oder nicht! Alles andere ist pfusch!!!

Kukulkan · #4 17.12.2007, 13:25:50

Erstmal Danke für die Antworten.

Eigentlich kann ich in meinem Fall die Eingabe nur durch einen zusätzlichen Datenbank-Select prüfen. Das wollte ich, wie erwähnt, ja vermeiden. Aber nach der Kritik hier hab ich das jetzt so gemacht. Allerdings kostet mich das wieder mehr Performance...

Grüsse,

Kukulkan

defabricator · #5 17.12.2007, 13:38:43

So ist das nun mal bei der Webentwicklung.
Deshalb Datenbanken richtig aufbauen, SELECTs optimieren und KEYs entsprechend setzen. Das kann durchaus einigen Aufwand bedeuten.

#6 17.12.2007, 13:43:57

Sicherheitsprüfungen kosten Zeit!
Diese Kröte werden wir alle noch oft genug schlucken müssen.

Tumasch · #7 17.12.2007, 17:16:07

Noch n paar tips:

- Evtl. kannst du die ABfrage mit anderen abfragen kombinieren. Spart ein wenig zeit
- Evtl. hast du die Abfrage bereits einmal gemacht und kannst das Resultat zwischenpuffern
- Evtl kannst du die Berechtigung in der Session speichern? (Schneller aber unflexibler)
- Evtl. kannst du die DB-Struktur optimieren, damit die Abfrage schneller ist (bring nur was wenn die DB eunigermassen umfangeich ist)

Sicherheit kostet immer Performance!

feuervogel · #8 17.12.2007, 18:46:55

Zitat:

Zitat von Kukulkan

Allerdings kostet mich das wieder mehr Performance...

Angesichts des Sicherheitszuwachses sollte das zu verkraften sein :-)

:: Buchempfehlung ::

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!