CronJob-Service
bei SELFPHP mit ...
|
+ minütlichen Aufrufen
+ eigenem Crontab Eintrag
+ unbegrenzten CronJobs
+ Statistiken
+ Beispielaufrufen
+ Control-Bereich
Führen Sie mit den CronJobs von
SELFPHP zeitgesteuert Programme
auf Ihrem Server
aus. Weitere Infos
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
PHP Grundlagen Hier kann über grundlegende Probleme oder Anfängerschwierigkeiten diskutiert werden |
16.01.2018, 13:07:56
|
Anfänger
|
|
Registriert seit: Jan 2018
Alter: 54
Beiträge: 5
|
|
Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Hallo zusammen!
Ich bin neu hier und habe keine Ahnung!
Ich möchte eine neue Webseite aufbauen, die folgende Eigenschaften hat: - Startseite passwortgeschützt mit Login für von mir verwaltete Benutzer
- (Keine eigene Registrierung möglich und nötig)
- Benutzer uploadet eine Textdatei, die verarbeitet wird, und erhält ein PDF zurück.
- Alle diese Transfers sollen verschlüsselt sein (https).
- Der Benutzer und auch kein Dritter darf die Scripte sehen.
- Sicherheit spielt eine große Rolle
Letzterer Punkt ist auch der Grund, weshalb ich mich in diesem Forum angemeldet habe.
Ich hatte zunächst vor, dies im Rahmen meiner Webseite mit Wordpress zu realisieren.
Nachdem meine Webseite aber gehackt wurde, ist mir das zu unsicher. Angesichts dessen,
dass ich keinerlei graphisch aufwendige Seiten erstellen will, sondern nur ganz elementare
Funktionen verwenden möchte, suche ich nach einer Lösung, die einfach und sicher ist.
Ich würde mich sehr über Tipps freuen!
Vielen Dank!
Jürgen
Geändert von JuergenS (16.01.2018 um 13:29:22 Uhr)
|
16.01.2018, 13:54:37
|
|
Administrator
|
|
Registriert seit: Jul 2004
Beiträge: 3.707
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Hallo und willkommen hier im Forum.
Zitat:
Zitat von JuergenS
Hallo zusammen!
Ich bin neu hier und habe keine Ahnung!
|
Lässt sich ändern ...
Zitat:
Zitat von JuergenS
Ich möchte eine neue Webseite aufbauen, die folgende Eigenschaften hat: - Startseite passwortgeschützt mit Login für von mir verwaltete Benutzer
- (Keine eigene Registrierung möglich und nötig)
- Benutzer uploadet eine Textdatei, die verarbeitet wird, und erhält ein PDF zurück.
- Alle diese Transfers sollen verschlüsselt sein (https).
- Der Benutzer und auch kein Dritter darf die Scripte sehen.
- Sicherheit spielt eine große Rolle
Letzterer Punkt ist auch der Grund, weshalb ich mich in diesem Forum angemeldet habe.
|
- realisierbar Mittels .htaccess
- ---
- Soll die Verarbeitung automatisiert erfolgen oder per Hand? Ansonsten kein Problem.
- Deine Webseite unterstützt bereits https? Sonst frage bei Deinem Provider nach.
- Ist unmöglich, selbst wenn Du auf Deinem eigenen Server bei Dir im Keller/Arbeitszimmer hostest - denn der Admin von Deinem Provider hat immer Zugriff auf Deinen bei ihnen gehosteten Code
- Was ist im Internet schon sicher?
Freue mich auf eine rege Diskussion.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert
Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
16.01.2018, 15:50:37
|
Anfänger
|
|
Registriert seit: Jan 2018
Alter: 54
Beiträge: 5
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Vielen Dank für den Beitrag!
- Mittels .htaccess wäre eine Möglichkeit. Ich weiß aber nicht, ob das auch mit
nicht-MD5-basierten Hashfunktionen geht (die gelten als unsicher) und ob ich
das alles nur mit einem SFTP-Zugang zu meinem Server realisieren kann.
Mich interessieren daher auch PHP-basierte Lösungen mit Sessionverwaltung etc.
MySQL ist natürlich vorhanden.
- -
- Verabeitung erfolgt automatisiert aber individuell, d.h. ich muss für jeden
Nutzer ein eigenes Script schreiben. Das ist aber das geringste Problem,
denn ich habe das meiste schon in Perl geschrieben.
- Deiner Antwort entnehme ich, dass es genügt, wenn der Server https kann.
Jetzt muss ich nur noch den Nutzer "zwingen", https zu nutzen.
- Mit Dritten meine ich nicht den Provider, der ist nicht das Problem,
sondern irgendwelche Kriminelle, die mal wieder meine Webseite hacken möchten.
- Mir geht es natürlich darum, ein möglichst hohes Maß an Sicherheit zu haben.
Das Problem ist halt: Verwende ich irgend ein CMS, dann habe ich einen riesigen
Overkill an Funktionen, die ich nicht brauche und das Risiko, dass wegen der
Komplexität des CMS Schwachstellen vorhanden sind. Nehme ich dagegen eine
"selbstgestrickte" PHP-Lösung könnte es sein, dass mangelnde Fachkompetenz
die Ursache für die Schwachstelle ist.
Gut fand ich diesen Beitrag:
https://de.wikihow.com/Ein-sicheres-...ySQL-erstellen
Ich kann bloß nicht beurteilen, wie aktuell das ist und ob es dem Stand der Technik entspricht.
|
16.01.2018, 15:55:18
|
Member
|
|
Registriert seit: Mar 2004
Ort: wien
Beiträge: 512
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Eigener Server?
Linux, dann käme noch pam als Authentifizierung in Frage. Der Indianer kann das perfekt, dann ist auch später eine Erweiterung der Dienste und erweiterte Rechteverwaltung NULL Problem.
__________________
Gruss sys ;-)
Ich möchte wie mein Grossvater sterben, lächelnd und schlafend, nicht schreiend und weinend, wie sein Beifahrer.
|
16.01.2018, 16:12:41
|
Anfänger
|
|
Registriert seit: Jan 2018
Alter: 54
Beiträge: 5
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Zitat:
Zitat von sysop
Eigener Server?
|
Nein, noch nicht. Ich nehme entweder eine Subdomain meiner Homepage
oder ein Webhosting-Paket.
|
17.01.2018, 09:01:44
|
Member
|
|
Registriert seit: Mar 2004
Ort: wien
Beiträge: 512
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Dann ist wohl .htaccess die beste Variante.
__________________
Gruss sys ;-)
Ich möchte wie mein Grossvater sterben, lächelnd und schlafend, nicht schreiend und weinend, wie sein Beifahrer.
|
23.01.2018, 10:10:04
|
Anfänger
|
|
Registriert seit: Jan 2018
Alter: 54
Beiträge: 5
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Zitat:
Zitat von sysop
Dann ist wohl .htaccess die beste Variante.
|
Und was wäre die zweitbeste Alternative?
Es gibt einige Vorlagen für Benutzerverwaltungen mittels PHP
im Internet, ich kann aber nicht beurteilen, was dem Stand
der Technik entspricht.
|
25.01.2018, 12:59:23
|
Member
|
|
Registriert seit: Mar 2004
Ort: wien
Beiträge: 512
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Die zweitbeste Variante ist wohl eine Userverwaltung und Login über php oder ähnliche Scriptsprachen.
Da bieten schon die Interpreter der Scriptsprachen einiges an Angriffsfläche.
Derartiges kommt eher zum Einsatz, wenn man recht viele User verwalten muss.
__________________
Gruss sys ;-)
Ich möchte wie mein Grossvater sterben, lächelnd und schlafend, nicht schreiend und weinend, wie sein Beifahrer.
|
26.01.2018, 13:14:58
|
Anfänger
|
|
Registriert seit: Jan 2018
Alter: 54
Beiträge: 5
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Zitat:
Zitat von sysop
Da bieten schon die Interpreter der Scriptsprachen einiges an Angriffsfläche.
|
Aber dieses Problem habe ich in jedem Fall, da ich ja Daten verarbeiten
muss, die der Nutzer uploadet. Diese Daten werde ich vermutlich mit
PHP oder einer anderen Scriptsprache verarbeiten und dann ist die
Angriffsfläche in jedem Fall vorhanden.
Was ich bei der .htaccess-Variante vermisse ist eine vernünftige
Session-Verwaltung. Besteht nicht bei der .htaccess-Variante die
Möglichkeit, dass ein Angreifer eine andere Session übernimmt?
Wenn ich also eine Userverwaltung über PHP verwende, wo finde
ich eine Anleitung, die auf dem neuesten Stand der Technik ist?
Vielen Dank für alle Tipps!
Gruss Jürgen
|
26.01.2018, 13:50:22
|
|
Administrator
|
|
Registriert seit: Jul 2004
Beiträge: 3.707
|
|
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?
Zitat:
Zitat von JuergenS
Aber dieses Problem habe ich in jedem Fall, da ich ja Daten verarbeiten
muss, die der Nutzer uploadet. Diese Daten werde ich vermutlich mit
PHP oder einer anderen Scriptsprache verarbeiten und dann ist die
Angriffsfläche in jedem Fall vorhanden.
|
Aber erst nach der Prüfung der Zugangsberechtigung.
Zitat:
Zitat von JuergenS
[..]
Was ich bei der .htaccess-Variante vermisse ist eine vernünftige
Session-Verwaltung. Besteht nicht bei der .htaccess-Variante die
Möglichkeit, dass ein Angreifer eine andere Session übernimmt?
|
Bitte .htacces (Apache - Serverbetriebssystem) und Session-Verwaltung (PHP - Scriptsprache) gedanklich trennen.
Zitat:
Zitat von JuergenS
[..]
Wenn ich also eine Userverwaltung über PHP verwende, wo finde
ich eine Anleitung, die auf dem neuesten Stand der Technik ist?
|
So blöd wie es klingt, wie wäre es mit dem Internet. Da es ständig Veränderungen sowohl im Angriff als auch in der Verteidigung von Angriffen gibt, sind auch (aktuelle - was ist aktuell?) Bücher schon mit Drucklegung nicht mehr zwingend auf dem aktuellsten Stand.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert
Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Themen-Optionen |
|
Ansicht |
Linear-Darstellung
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 18:35:12 Uhr.
|