Sicherheit einer Session

[kaepten]

Hallo Zusammen,

ich bastle zur Zeit gerade an einer Linkseite für mich... und meine Freundin und Familie... na ja, es ist nicht nur für mich ;-)

Wie dem auch sei... ich habe es nun so gelöst, das sich die User anmelden müssen und dann aus einer SQL-Datenbank heraus authentifiziert werden... der Rest (Verwaltung der Links etc.) findet dann in einer Session statt..

Soviel erstmal zur Umgebung...

Jetzt ist mir folgendes aufgefallen... wenn ich eine Variable über die URL übergebe kann die URL manipuliert werden und so auf fremde Daten zugegriffen werden...
Dieses Problem habe ich gelöst indem ich vor dem Ausführen von php-Seiten prüfe, ob der "Aufrufer" auch der "Eigentümer" ist...

Da ich unerfahren bin stelle ich mir folgende Fragen... vielleicht weis jemand was man dagegen machen kann:

Angeblich existieren Programme, mit denen man auch die PHP-Seiten als Datei von der HP laden kann... also nicht durch php.exe gejagt sondern der Quelltext.
Stimmt das? Was kann man dagegen machen?

Gibt es noch andere Dinge die man hier beachten sollte?

Vielen Dank, fürs lesen des langen Textes und für Antworten,

kaepten

[Opendix]

Dies dürfte eigenltich nicht möglich sein (oder sehe ich das falsch?)

Den sollte man Zugriff auf die Dateien haben, dann wäre es ja bei vielen Seiten möglich sich gleich die Dateien anzuschauen in der z.B. passwort für die SQL-Tabelle steht… also bin mir nicht ganz sicher, aber ich denke das ist nicht ohne weiteres möglich ;)

Das mit den session ist ansonsten eine ziemlich sichere sache, aber vergiss nicht einen logout zu machen der die session auch wieder zerstört!

[Damir]

Zitat:

Zitat von kaepten

Angeblich existieren Programme, mit denen man auch die PHP-Seiten als Datei von der HP laden kann... also nicht durch php.exe gejagt sondern der Quelltext.
Stimmt das? Was kann man dagegen machen?

Hi,
sicherlich wird das nicht gehen - jede Anfrage laeuft ueber den Webserver und wird erst einmal geparst und dann zum Client ausgegeben. Somit wird man eine PHP-Datei nicht direkt downloaden koennen, es sei denn, das das Programm schon auf deinem Server laeuft;-))

Weiterhin koennen PHP-Dateien direkt gelesen werden, wenn der Webserver z.B. nach einem Neustart und einer Fehlkonfiguration keine PHP-Dateien mehr erkennt - er gibt diese dann wie ganz normales HTML aus.....

Bye Damir

[kaepten]

Dachte ich mir auch...

Der Programmtyp, mit dem swas möglich sein soll nennt sich angeblich "Sniffer" oder so ähnlich... habe keine Ahnung was diese Programme machen ;-) Können die vielleicht mit FTP auf den Server?

Das mit dem ausloggen ist schwierig... ich habe zwar einen Button der das macht... aber wenn man einfach das Fenster schließt (Mozilla-Tab o. ä.) kommt man danach wieder drauf... kann man da was mit JS machen?

[Opendix]

Sniffer sind Programme die den Netzwerk-verkehr zwischen dem Server und dem Client abhören!

Kannst ja mal selbst versuchen, such bei google nach Ethereal und installier dir das mal. Da siehst du dann schön was alles verwsendet wird wenn du rumsurfst…

also wenn der benutzer eifach schliesst ist er wohl sebst schuld... :P

[xabbuh]

Wenn du die Sicherheit erhöhen willst, könntest du beispielsweise auf eine SSL-Verschlüsselung zurückgreifen, dann ist es auf jeden Fall wesentlich schwieriger, den Netzwerkverkehr "abzuhören".

[feuervogel]

Zitat:

Zitat von Damir

Hi,
sicherlich wird das nicht gehen - jede Anfrage laeuft ueber den Webserver und wird erst einmal geparst und dann zum Client ausgegeben. Somit wird man eine PHP-Datei nicht direkt downloaden koennen, es sei denn, das das Programm schon auf deinem Server laeuft;-))

*hust* ftp-clients *hust* ?

[kaepten]

Okay... habe es gerade ausprobiert..."permission denied"...

War ja nur eine Theorie ;-) sorry

[meikel (†)]

Zitat:

Zitat von kaepten

Angeblich existieren Programme, mit denen man auch die PHP-Seiten als Datei von der HP laden kann... also nicht durch php.exe gejagt sondern der Quelltext.
Stimmt das? Was kann man dagegen machen?

Falls Du mit den "angeblich existierenden Programmen" nicht den Download des Scriptes per FTP meinen solltest:
das Gerücht, es gäbe sowas, ist offenbar nicht totzukriegen.

IdR. hast Du für Deinen Webspace einen FTP Account, damit Du Dateien up- und downloaden kannst. Dieser Account ist natürlich mit einem Paßwort geschützt. Nachteil daran ist, daß beim FTP Protokoll das Paßwort im Klartext gesendet wird. Das Paßwort kann also "ge-snifft" werden.
Sniffer: http://www.google.de/search?hl=de&q=...le-Suche&meta=
Sicherer wäre eine Übertragung per SFTP oder SCP, wenn der Provider sowas anbietet.

Ansonsten kann die große Userschar Deine PHP Scripte nur per HTTP aufrufen. Hier wäre der seltene aber nicht unmögliche Fall zu beachten, daß der PHP Parser infolge von Schlamperei des Admins ausgefallen ist. Dann und nur dann würde der Apache PHP Scripte "ungeparst" ausliefern.

Und damit ein User in diesem seltenen aber nicht völlig ausgeschlossenem Fall kein Script aufrufen kann, in dem zB. Paßwörter drinstehen, versteckt man diese Scripte oberhalb des Documentroot (http://host/../config.php weist der Apache ja ab) und fügt sie in aufrufbare Scripte per include/require ein.