Sicherheit.

[R4Zz0R]

Hallo Leute.

Ich wollte mir mal einen einblick verschaffen was ihr von selbstgebastelten "Sicherheits"
abfragen haltet.

Beispielcode:

Code:

//Anfang der seite mit session und ect.
//nun zum status.
$login="0";
//noch mehr code den ihr braucht.

//ausgabe der seite fals login false

if ($login=="0") {

print ("Du bist nicht berechtigt diese seite anzuzeigen.");

}

else {

print ("Willkommen auf der Seite mit ausgabe");

}

Um die variable $login vor veränderungen zu schützen benutze ich sessions und keine cookies.

Was denkt ihr dazu?.

MFG R4Zz0R

[cortex]

Zitat:

Zitat von R4Zz0R

Um die variable $login vor veränderungen zu schützen benutze ich sessions und keine cookies.

die überlegung session vs. cookies ist an dieser stelle unangebracht, da es zwei verschiedene - und nicht konkurrierende - themen sind.

für eine weiterführende diskussion erkläre bitte dein anliegen, deine bedenken und deine bisherigen ansätze etwas genauer.

cx

[R4Zz0R]

Mein anliegen ist eigentlich nur für wie sicher ich es halten kann wen ich (wie ich es mache)
In meinen seiten bestimmte statusabfragen wie zb.

$login=="";

ect. mache und ob ihr mir eventuell andere möglichkeiten empfehlen würdet.

MFG

R4Zz0R

[R4Zz0R]

Sry warscheinlich falsch formuliert.

Ich versuche das schon länger hinzubekommen bis jetzt klappt alles einwandfrei.
Doch je weiter ich in die administration und rechtevergabe komme desto mehr versuche ich lücken auszuschließen mit der sich benutzer unberechtigt zugriff auf zb. die benutzerverwaltung zu gelangen.

Meine bisherigen ergebnisse sind schon recht gut, auch vor session hijacking bin ich mit einem selbsterarbeiteten script geschützt. Auch wenn ich sicher bin das es immer eine möglichkeit gibt
an das zu gelangen was man nicht haben soll besonders bei solchen themen.
Deswegen wollte ich mir einen Rat einholen was andere davon denken.

[feuervogel]

Zitat:

Zitat von R4Zz0R

Sry warscheinlich falsch formuliert.

Ich versuche das schon länger hinzubekommen bis jetzt klappt alles einwandfrei.
Doch je weiter ich in die administration und rechtevergabe komme desto mehr versuche ich lücken auszuschließen mit der sich benutzer unberechtigt zugriff auf zb. die benutzerverwaltung zu gelangen.

Meine bisherigen ergebnisse sind schon recht gut, auch vor session hijacking bin ich mit einem selbsterarbeiteten script geschützt. Auch wenn ich sicher bin das es immer eine möglichkeit gibt
an das zu gelangen was man nicht haben soll besonders bei solchen themen.
Deswegen wollte ich mir einen Rat einholen was andere davon denken.

die sache ist einfach, dass du uns den gesamten sicherheitsrelevanten code verschweigst, denn an den drei bisher geposteten zeilen kann man nicht unbedingt eine sicherheitslücke festmachen. abgesehen davon ist das was du machst nicht besonders kompliziert: wenn ein nutzer eingeloggt ist, darf er eine seite sehen, sonst nicht. ein ausgefeiltes rechtemanagement sieht da schon etwas anders (weniger trivial) aus, ist aber für deinen fall wahrscheinlich nicht notwendig.

[cortex]

hallo R4Zz0R,

hiermit

Zitat:

Zitat von R4Zz0R

Deswegen wollte ich mir einen Rat einholen was andere davon denken.

bist du in diesem unterforum erst einmal gut aufgehoben. allerdings ist mir die stossrichtung deiner bedenken immer noch nicht klar geworden:

Zitat:

Zitat von R4Zz0R

Ich versuche das schon länger hinzubekommen [...]

was ist denn das?

Zitat:

Zitat von R4Zz0R

desto mehr versuche ich lücken auszuschließen mit der sich benutzer unberechtigt zugriff auf zb. die benutzerverwaltung zu gelangen.

wodurch könnte deiner meinung nach solch eine lücke entstehen und wie könnte diese ausgenutzt werden?

Zitat:

Zitat von R4Zz0R

vor session hijacking bin ich mit einem selbsterarbeiteten script geschützt

glaubst du wirklich - wie sieht dein skript aus?

cx

[R4Zz0R]

@cortex

Mein script arbeite mit ip & clientüberprüfung (Browserinformationen ) gegen session hijacking (auserdem funktioniert es ja nichteinmal wenn ich mich am selben pc (bei eingeloggten benutzer ) mit der selben sessionid nochmal versuche ein fenser zu öffnen

Den relevanten code kann ich momentan leider nicht posten da ich gerade noch nicht zuhause bin.
Mir ging es auch nicht um meinen code der ja so weit funktioniert sondern um
die algemeine frage ob so etwas sicher genug ist für eine webanwendung oder ob es über
diese art und weise mehr sicherheitslücken auftreten können und ob es bestimmte dinge gibt die ich eventuell zu beachten habe. Oder was ich besser machen könnte.

[DokuLeseHemmung]

Zitat:

und ob es bestimmte dinge gibt die ich eventuell zu beachten habe. Oder was ich besser machen könnte.

Massig!
Obwohl das Scriptchen so winzig ist.

1. globale Variablen öffnen unerwünschten Seiteneffekten Tür und Tor
2. bei Vergleichen könntest du die Konstante nach links setzen
3. Warum kein typesicherer Vergleich?
4. Wieso sehe ich da keinerlei OOP Konzept?

[R4Zz0R]

2. bei Vergleichen könntest du die Konstante nach links setzen
^^? im quelltext nach links oder nach einem link?

3. Warum kein typesicherer Vergleich?
^^ ich hab eine andere phpversion angefangen zu lernen und man sagt ja versuch macht klug also versuche ich mir das mit meinen jetzigen php-kentnissen so gut wie möglich zu gestalten und von typesicher hab ich leider bis jetzt noch nichts gehört
4. Wieso sehe ich da keinerlei OOP Konzept?
^^OOP ???sry auch noch nicht bei mir durchgedrungen bin nur aus hobby zu php gekommen
deswegen lern ich mir gerne an aber brauch nen link wenn es geht.

Ach ja angefangen hab ich mit dem buch

PHP - rororo Grundkurs Computerpraxis: Webseiten Dynamisch Programmieren

mit php halt und deswegen musste ich mir schon einiges zb über sessions anlesen um überhaupt zu meiner seite zu kommen.

MFG

R4Zz0R

[DokuLeseHemmung]

2+3:

PHP-Code:

// wenn man 
if ($login=="0")
// schreibt, 
//dann könnte man versehentlich ein = vergessen
// so wirds eine Zuweisung
if ($login="0") // verfälscht unabsichtlich $login, ohne error


//Um das zu vermeiden:
if ("0" == $login)
// oder so:
if (0 == $login) // automatische Typekonvertierung
if (0 === $login) // Typesicher

// dieses würde einen Fatal Error Werfen
if ("0" = $login) 


Und das hat nichts mit der PHP Version zu tun.!.!

4: http://www.peterkropff.de/site/php/oop.htm