http vs. https

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • http vs. https

    hi leute,

    was ist eigentlich der Unterschied. + -
    steht das https für 'ne ssl verbindung?

    ich frag das deswegen, weil gestern jemand irgendwie an meine php-script's die in meinem webdir lagern rangekommen ist und mir so die halbe sql-db durcheinandergebracht hat.
    kann mir das bei 'ner https-verbindung nicht passieren?
    ist die teurer als 'ne http verbindung?

    bitte um rat
    $PHP resource 4ever$

  • #2
    https ist eine sichere Verbindung (verschlüsselt),
    aber deshalb dürfte er dort auch nicht an deine Scripte kommen.

    Welche Seite ist denn das, und was hat er gemacht.
    Vielleicht finden wir zusammen ja das Loch zum stopfen
    TBT

    Die zwei wichtigsten Regeln für eine berufliche Karriere:
    1. Verrate niemals alles was du weißt!


    PHP 2 AllPatrizier II Browsergame

    Kommentar


    • #3
      muss wohl 'ne sicherheitslücke bei meinem provider sein.
      normalerweise kommt man doch an keine php-files ran weil die ja nicht angezeigt werden (=> is ja serverorientiert!).

      aber irgendwie muss der typ es geschafft haben, sich die files in meinem webdir (od. wie auch immer) anzeigen zu lassen (gibt's dafür tools?) INKL. der php-files. viell. hat er meine ftp geknackt. was weiß ich???

      auf jeden fall sind dinge passiert, die ein "normaler" user NIEMALS auf der site anstellen kann!!!!!!

      jetzt war mein gedanke: wie sieht das ganze mit 'ner verschlüsselten verbindung aus? ist es da sicher bzw. sicherer? UND: kostet 'ne https mehr als 'ne http? was sind die wichtigsten unterschiede? vor- und nachteile?


      bin echt verzweifelt. hab angst, dass der typ nochmal reinkommt od. irgend jemand anderer.

      backup hab ich gleich mal gemacht!
      $PHP resource 4ever$

      Kommentar


      • #4
        biste ganz sicher, das deine eigenen Scripte kein Sicherheitsloch haben?
        Hier wurden in der letzten Woche auch zwei Webauftritte untersucht,
        welche vom Autor unerwartet große Sicherheitslöcher in den
        Scripten hatten.
        TBT

        Die zwei wichtigsten Regeln für eine berufliche Karriere:
        1. Verrate niemals alles was du weißt!


        PHP 2 AllPatrizier II Browsergame

        Kommentar


        • #5
          wie meinst du das mit dem sicherheitsloch der eigenen scripte?

          wenn man von "aussen" nicht auf php-script's zugreifen kann (was wohl providersache ist das nicht zu ermöglichen) dann weiß ich nicht wie in meinen script's da sicherheitslücken sein sollen.

          ja klar schicke ich variablen zwischen php und flash hin und her und schreibe bestimmte aktionen des users in meine sql-db. aber trotzdem: wenn der "hacker" nicht zugriff auf die script's bekommt, dann kann er versuchen was er will. da kommt er nicht drauf.

          wie soll er was knacken, von dem er nichtmal weiß wie es codemäßig aussieht. ok, bei htm-files (javascript) ist das was anderes. die kann er ja downloaden und auf seinem rechner speichern, mit dreamweaver aufmachen und sich alles angucken.
          => deswegen hab ich ja php und flash genommen!!!!

          was meinst du dazu?
          $PHP resource 4ever$

          Kommentar


          • #6
            deine Scripte nehmen bestimmt auch $_GET[] Parameter entgegen
            darüber kann man eventuell eindringen, wenn die Verarbeitung
            dieser nicht mit entsprechender Sorgfalt vorgenommen wird.

            Siehe Thread von Benny-one hier
            TBT

            Die zwei wichtigsten Regeln für eine berufliche Karriere:
            1. Verrate niemals alles was du weißt!


            PHP 2 AllPatrizier II Browsergame

            Kommentar


            • #7
              hmm,
              mit get schick ich die variablen zw. flash und php hin und her.

              aber kannst du mal genauer beschreiben wie du das meinst. vor allem bei php!
              $PHP resource 4ever$

              Kommentar


              • #8
                hast du dir dsas Problem bei Benny-one mal durchgelesen ?
                TBT

                Die zwei wichtigsten Regeln für eine berufliche Karriere:
                1. Verrate niemals alles was du weißt!


                PHP 2 AllPatrizier II Browsergame

                Kommentar


                • #9
                  Http bringt dir nur die Daten unverschlüsselt auf den Rechner.
                  Hingegen https es dir ermöglicht die Daten von User Beispielsweise die Kreditkartendaten verschlüsselt auf den Server zubringen. HTTPS bringt dir zur Absicherung des Webservers rein garnichts. Das Problem wird in deinen Scripten oder aber wie du schon gesagt hast beim Provider liegen. Ich denke aber es sind deine Scripte die ein Sicherheitsloch aufweisen.

                  Zu deiner Frage was https kostet:
                  Bei einigen Providen bekommst du es kostenlos in teuren Packeten und beim Rest fü ca. 199.00€ im Jahr für das SSL-Zertifkat.
                  Zuletzt geändert von Wotan; 20.06.2004, 18:52.
                  *winks*
                  Gilbert
                  ------------------------------------------------
                  Hilfe für eine Vielzahl von Problemen!!!
                  http://www.1st-rootserver.de/

                  Kommentar


                  • #10
                    ja sicher hab ich mir Benione's beitrag durchgelesen.
                    kann aber keinen bezug zu meinen script's herstellen.

                    wie gesagt, ich schicke ein paar variable zw. flash und php. php trägt bestimmte infos in die sql-db ein.
                    dann hab ich da noch ein php-script dass mir ein mail auf meinen rechner generiert und schickt.

                    das war's!

                    bedeutet das $_GET[] nicht, dass alle variablen auf einmal geschickt werden und dass sie nicht deklariert werden müssen?
                    es gibt ja so 'nen php-info befehl wo man die genaue php-version des servers abfragen kann.
                    weiß aber nicht ob uns das in diesem fall weiterhilft!

                    @wotan:
                    das heißt wenn die variablen verschlüsselt gesendet werden, kann mir das nicht passieren oder wie jetzt?
                    Zuletzt geändert von Metallica; 13.11.2002, 10:46.
                    $PHP resource 4ever$

                    Kommentar


                    • #11
                      $_GET[] ist ein Array aller in der URL übergebenen Variablen

                      was wird denn mit den Variablen gemacht, die du von Flash
                      zu PHP schickst und umgedreht. Ich kann mir vorstellen, das
                      genau dort das Loch zu suchen ist.

                      Wenn du uns mal nen Link gibst, kann man sich das anschauen.
                      Dann wird bestimmt einer hier fündig, und kann dir sagen wo
                      das Loch ist.
                      TBT

                      Die zwei wichtigsten Regeln für eine berufliche Karriere:
                      1. Verrate niemals alles was du weißt!


                      PHP 2 AllPatrizier II Browsergame

                      Kommentar


                      • #12
                        Auch wenn die Datenverschlüsselt sind kann dir das passieren. Nur werden die Userdaten verschlüsselt übertragen. Nichts anderes passiert. HTTPS ist wirklich nur für Daten geeignet die eine Besondere Verschlüsslung brauchen nicht aber zur Absicherung des Webspaces. Das ist und bleibt Sache von dir und dem Provider. Wobei ich schon in meinem letzten Posting geschrieben habe das es ehr ein Problem in deinen Scripten gibt.

                        Wenn du den Thread von Benny-one gelesen hast, hast du auch gelesen das ich selbes Problem hatte. Also lass uns dir dabei helfen die Sicherheitslücke zuschließen. TBT ist sehr gut darin!
                        *winks*
                        Gilbert
                        ------------------------------------------------
                        Hilfe für eine Vielzahl von Problemen!!!
                        http://www.1st-rootserver.de/

                        Kommentar


                        • #13
                          was mit den varialben gemacht wird:
                          der user macht 'ne eingabe (variable1) und klickt ok. danach wird ein php-script aufgerufen, dass die variable1 in meine sql-db einträgt. danach (passiert im gleichen script) speichert php die variable1 in einer andere php-datei und ruft (noch immer im selben script) 'ne htm auf wo ein swf drinnen ist. dass wird dann geladen und hat in der loading-szene einen getUrl aufruf und lädt die php-datei in der gerade zuvor die variable reingeschrieben wurde.

                          so, that's it!

                          ps: falls da eine lücke ist, wäre mir das dann mit 'ner https-verbindung nicht passiert?
                          $PHP resource 4ever$

                          Kommentar


                          • #14
                            mit https ist dann genau die selbe Lücke da

                            ich denke die Lücke ist genau dies hier:

                            ... speichert php die variable1 in einer andere php-datei ...
                            und lädt die php-datei in der gerade zuvor die variable reingeschrieben wurde ...
                            TBT

                            Die zwei wichtigsten Regeln für eine berufliche Karriere:
                            1. Verrate niemals alles was du weißt!


                            PHP 2 AllPatrizier II Browsergame

                            Kommentar


                            • #15
                              na super. und was kann ich dagegen tun?
                              $PHP resource 4ever$

                              Kommentar

                              Lädt...
                              X