how-to-homepage.de - wichtige Tipps für Ihre Website

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • how-to-homepage.de - wichtige Tipps für Ihre Website

    Hallo,
    ich wollte hier mal eines meiner Projekte vorstellen. Ich versuche dort das ein oder andere wichtige Thema bzgl. Sicherheit in php-Applikationen anzuschneiden. Ebenfalls vertreten sind Themen im Bereich Server.

    Die Seite soll helfen Einsteigern in die ganze "Website-Geschichte" ein grobes BIld davon zu geben. Sie im vorraus schon auf das Thema Sicherheit zu sensibilisieren.
    Eigentlich müssten die meisten Programmierer sich dieses ganze Thema nochmal genauer anschauen. Es werden immer wieder fatale Fehler gemacht und dann riesige Datenbanken geklaut, wo unser eins dann aus irgendwelchen Gründen drinn steht.

    Sagen wir einfach, dass das Hauptthema der Website: Gestaltung,Umsätzung einer eigenen Website ist, was man beachten muss/sollte, Tipps und Tricks.

    Einige Artikel sind nur grob geschrieben und werden noch verfeinert. Und ich plane noch viele wichtige Themen anzuhauen. Es sollte also recht interessant werden.

    Über Kritik,Verbesserungsvorschläge, Partnerschaften,Werbung für die Seite würde ich mich natürlich sehr freuen.

    Mit freundlichen Grüßen

    edit:
    URL: how-to-homepage.de
    Zuletzt geändert von D89; 06.03.2010, 16:44.

  • #2
    Sehr löblich, dass du die Seite nicht verlinkt hast …
    [FONT="Helvetica"]twitter.com/unset[/FONT]

    Shitstorm Podcast – Wöchentliches Auskotzen

    Kommentar


    • #3
      soll das ironie sein, die bemängelt, dass keine URL im thread ist (sondern nur im titel)? Oder wirklich Lob? :P

      Kommentar


      • #4
        Ein bisschen von beidem. Da dies dein erster Post hier ist –*und Werbung darstellt –*würde ein Link ohnehin "entlinkt" werden.
        [FONT="Helvetica"]twitter.com/unset[/FONT]

        Shitstorm Podcast – Wöchentliches Auskotzen

        Kommentar


        • #5
          Na ja. Sind ein paar nette Tips dabei, aber vom Hocker reißen tut mich das Niveau insgesamt nicht, und ein paar Tips sind schlicht falsch.

          Konkrete Kritik:

          php-Funktionen auf dem Server deaktivieren | safe-mode
          Der safe_mode ist deprecated und wird in PHP 6 (aus gutem Grund) wegfallen, darauf würde ich mindestens hinweisen. Und warum um alles in der Welt soll ich escapeshellcmd(), call_user_method(), all_user_method_array() und create_function() abschalten?!? Das sind m.E. sicherheitstechnisch völlig ungefährliche und für manche Applikationen absolut notwendige Funktionen. Kannst Du mir ein Beispiel zeigen, in dem eine dieser Funktionen ein Sicherheitsrisiko darstellt?

          htaccess - Ultimativer Schutz für private Bereiche
          Einen Adminbereich allein via IP-Block zu schützen ist hochgefährlicher Unfug. Ein "Cracker" muß nur ebenfalls Kunde bei T-Online sein, um Zutritt zum Loginbereich zu erlangen. Ich denke, du meinst das in Zusammenhang mit einer Passwortabfrage - so wie es jetzt dasteht, ist davon aber keine Rede.

          Arten von Sicherheitslücken
          Eine halbwegs brauchbare Beschreibung - teilweise aber zu oberflächlich. Wie ein XSS-Angriff oder "LFI/RFI" funktionieren, versteht der Leser hinterher auch nicht besser als vorher - er kriegt eher Zweifel, ob der Autor sie denn verstanden hat Der Artikel erwähnt außerdem das Allerwichtigste nicht - nämlich daß sich alle diese Lücken durch vernünftige, grundlegende Maßnahmen beim Programmieren weitgehend vermeiden lassen. (Escapen von reinkommenden Daten vor dem Einfügen in die Datenbank, escapeshellcmd() und escapeshellargs() vor dem Ausführen, usw.)

          htaccess - Schwächen
          Den Inhalt dieses Posts verstehe ich nicht. Warum soll require valid-user fehlerhaft sein? Ist es nicht so, daß es erst in Zusammenhang mit <LIMIT xyz> Probleme gibt?
          Zuletzt geändert von pekka; 05.03.2010, 18:14.

          Kommentar


          • #6
            Zitat von pekka Beitrag anzeigen
            php-Funktionen auf dem Server deaktivieren | safe-mode
            Der safe_mode ist deprecated und wird in PHP 6 (aus gutem Grund) wegfallen, darauf würde ich mindestens hinweisen. Und warum um alles in der Welt soll ich escapeshellcmd(), call_user_method(), all_user_method_array() und create_function() abschalten?!? Das sind m.E. sicherheitstechnisch völlig ungefährliche und für manche Applikationen absolut notwendige Funktionen. Kannst Du mir ein Beispiel zeigen, in dem eine dieser Funktionen ein Sicherheitsrisiko darstellt?
            Ich schreibe dort, dass man seine Applikationen kennen muss. Wenn sie diese Funktionen verwendet, dann ist es natürlich quatsch sie zu sperren.

            Bis PHP 6 kommts, dauert es noch eine ganze lange weile! Deswegen lasse ich es unerwähnt. Sobald sich das ändert, wird darüber natürlich was geschrieben.

            bzgl: escapecmdshell() : Du hast recht, sie ist ungefährlich und ist aus versehen in diese Liste geraten.

            bzgl: call_user_method() und den andere:
            - es sind alte Funktionen aus PHP 4, was aber noch extrem oft eingesetzt wird. Warum ich deise Funtkion dort erwähne, da denke ich zitiere ich einfach:
            7765 Duplicate not OO until automatic class destructor is added
            9054 Open problems in call_user_method
            9068 Assigned Bugs in OO which are leaking memory...
            9090 Duplicate call_user_method() duplicates object
            9447 Open call_user_method functions do not pass references
            9587 Analyzed obj->method()->method2() doesn't work!!
            10088 Open Object linking
            10096 Open get_object_vars does not work as expected
            10293 Open object reference vs. true object function passing problem
            11073 Open parent::Function() does not work if parent class is included
            11543 Open Calling an object's method changes the variable to a reference to this object.
            11748 Open setting reference to $this in constructor.
            11768 Open references still have bugs
            11800 Open call_user_method() bug (it won't change properties)
            12058 Serialize dies for large objects
            Zitat von pekka Beitrag anzeigen
            htaccess - Ultimativer Schutz für private Bereiche
            Einen Adminbereich allein via IP-Block zu schützen ist hochgefährlicher Unfug. Ein "Cracker" muß nur ebenfalls Kunde bei T-Online sein, um Zutritt zum Loginbereich zu erlangen. Ich denke, du meinst das in Zusammenhang mit einer Passwortabfrage - so wie es jetzt dasteht, ist davon aber keine Rede.
            Ich stimme dir vollkommen zu. Auch wenn ein Angreifer weiß, welche IPs dort stehen, kann er sich einen passenden Proxy suchen. Aber ich sage nicht, dass man das alleine als Schutz nehmen darf, sondern in Verbindung mit einem Login+Password.

            Zitat von pekka Beitrag anzeigen
            Arten von Sicherheitslücken
            Eine halbwegs brauchbare Beschreibung - teilweise aber zu oberflächlich. Wie ein XSS-Angriff oder "LFI/RFI" funktionieren, versteht der Leser hinterher auch nicht besser als vorher - er kriegt eher Zweifel, ob der Autor sie denn verstanden hat Der Artikel erwähnt außerdem das Allerwichtigste nicht - nämlich daß sich alle diese Lücken durch vernünftige, grundlegende Maßnahmen beim Programmieren weitgehend vermeiden lassen. (Escapen von reinkommenden Daten vor dem Einfügen in die Datenbank, escapeshellcmd() und escapeshellargs() vor dem Ausführen, usw.)
            In einem Artikel erwähne ich genau das, aber wie ich oben geschrieben habe, werden die Artikel noch präzisiert und mit mehr Beispielen belegt.
            Aus diesem Artikel plane ich 4-5 einzelne zu machen, wo dann Beispiele+Fix stehen.

            Zitat von pekka Beitrag anzeigen
            htaccess - Schwächen
            Den Inhalt dieses Posts verstehe ich nicht. Warum soll require valid-user fehlerhaft sein? Ist es nicht so, daß es erst in Zusammenhang mit <LIMIT xyz> Probleme gibt?
            Vollkommen recht hast du. Ich habe es im html-mode von wordpress geschrieben und dort wird <limit> als html erkannt und eben nicht angezeigt. Sollte behoben sein. Danke!

            Kommentar


            • #7
              Deine Seite scheint wieder Offline zu sein.

              Kommentar


              • #8
                Ist nur noch eine parking seite.. Schade hätte mir sicherlich einige Tutorials durchgelesen

                Kommentar

                Lädt...
                X