Gern gesehenes Thema: Sicherheit...

[Isocrateus]

Ich hab jetzt mehrere Threads über Sicherheit gelesen und bin schonmal soweit, dass ich für meine Bedürfnisse Ioncube oder Zend ausschließen möchte (nicht nur, weil das kosten würde).

Es geht darum, dass die Zugangsdaten meiner Datenbanken sich alle in Dateien (PHPs) im Webverzeichnis auf dem Server befinden => Wenn doch irgendwer einmal diese Dateien uninterpretiert zugesicht bekommen sollte, ist meine ganze HP offen wie'n Scheunentor => Kopfschmerzen...

Wie kann ich die Dateien sicher vor der Öffentlichkeit schützen, wenn ich keine Rootrechte habe und nur Webspace mit Document-Root?
Denn bei der Installationsanweisung von Popper (Webmailclient) wird einem geraten die Dateien aus dem Documentroot zu nehmen...

Verschlüsselung, wie gesagt mit umfangreicher, kostspieliger Verschlüsselungssoftware fällt für einen Studenten raus.
CHMOD kann ich nicht so setzen, dass meine anderen Scripts nicht meckern würden :(

Ich danke schonmal für weisen Rat

[xabbuh]

Am sinnvollsten ist es, die Dateien in ein extra Verzeichnis zu legen und dieses per htaccess-Passwortschutz zu sichern:
http://de.selfhtml.org/servercgi/ser...zeichnisschutz

Sinnvoll kann es auch durchaus sein, bestimmte Dateien (beispielsweise Dateien, die mit einem Punkt anfangen) nicht anzeigen zu lassen. Dafür könnte eine entsprechende htaccess-Datei so aussehen:

Code:

<FilesMatch "^\.">
  Order deny,allow
  deny from all
</FilesMatch>

Oder aber das Verzeichnis, in dem die Dateien liegen, sperren:

Code:

  Order deny,allow
  deny from all

[Isocrateus]

Ich bin mir nicht sicher, aber wenn das Verzeichnis mittels htaccess gesperrt ist und ein Skript darauf zugreifen möchte, taucht dann nicht immer eine Passwortabfrage auf? Wäre schon unpraktisch, so plötzlich mitten auf der HP nur weil hier und da mal was aus der DB gelesen wird, so ein Fenster vor sich zu haben

[xabbuh]

htaccess Dateien sorgen nur dafür, dass Zugriffe die per HTTP erfolgen, geblockt werden. Der Zugriff mit PHP erfolgt dagegen normalerweise über das Dateisystem. Hier gelten also nur die Zugriffsrechte der Verzeichnisse und Dateien.

[Klaus-die-Maus]

Sag mal wenn Du eine Datenbank hast, warum speicherst Du die Benutzer nicht in dieser?
Dort kannst Du dann auch gleich die Passwörter (evtl. mit MD5 verschlüsselt) ablegen??

Gruß von der Ostsee

[Isocrateus]

Es geht nicht um die Benutzer, sondern um die Datei, welche DEN Benutzer und DIE Daten für die Datenbank selbst enthält ;)
Alle anderen Benutzer meiner - noch in Arbeit befindlichen - Community-Site hab ich natürlich in der DB

[Klaus-die-Maus]

Achso. OK. Dann wär ich natürlich für die Lösung von xabbuh.
Die Daten für die Datenbank und die User wird doch sicherlich mit REQUIRE oder INCLUDE eingebunden. Das einbinden erfolgt mit "Serverrechten" ist also nicht abhängig von der .htaccess-Datei.

Ich erstelle immer ein Verzeichnis, schütze dieses mit einer .htaccess-Datei und anschließend werden die Daten dort in einer PHP-Datei gespeichert. Sollte mal aus irgendwelchen unergründlichen Gründen der Passwortschutz per .htaccess versagen, kann man die Datei ja trotzdem noch nicht einfach im Browser öffnen, wenn die Datei nix ausgibt.

Sollte das aber eine .TXT oder sowas sein, dann stellt jeder Browser die Datei im Klartext dar.

[Isocrateus]

Na, im Grunde mach' ich mir nur die Sorge (vielleicht paranoid, in nem anderen Forum gelesen), dass der Interpreter des Servers einen Fehler haben könnte und schwupps, gibt der Browser die Datei in bestem php-Quelltext aus... Ist im Übrigen eine *.php ;)
Jetzt werde ich erstmal oben gesagtes umsetzen

[|Coding]

Es ist nicht weit hergeholt, dass es vorkommen kann, das PHP-Scripts im Klartext dargestellt werden, denn Admins sind auch nur Menschen. Ist zwar eher selten, aber dennoch möglich...

[Serp]

Ich habs schon mehrfach erlebt, dass mir ein Server (gerade wenn er überlastet war) anstatt die Seite anzuzeigen diese zum Download angeboten hat - samt PHP-Quellcode. Also würd ichs nicht unbedingt drauf anlegen, das Script-Verzeichnis zu schützen kann sicherlich nicht schaden...