Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Komplette Absicherung einer Website
#1
Hi Folks.

Heute geht es mir um eure Meinung, wie man wohl am besten eine Website rundum gegen Diebstahl absichern kann. Wie schützt man eurer Meinung nach am besten Bilder, CSS, Scripts, den Administrationsbereich, ist Verzeichnisschutz per .htaccess sicher, sollte man alles nur gegen entsprechenden Referer von PHP ausliefern lassen oder alles in die Datenbank speichern, und wie kann man überhaupt einen eigenen MySQL-Server gegen XSS absichern? Alles Fragen, die mir aufgrund meines momentanen Projektes sehr am Herzen liegen.
Herzliche Grüße, Markus Köhler
Zitieren
#2
Also ich sag es mal so: Alles was man sieht kann man auch speichern, bzw. "klauen", da bringt keine Referer-Sicherung was.

Administrationsbereich schützen bringt auch nichts. Der Passwortschutz per htaccess ist wenn ich mich recht erinnere sogar unsicherer Wink

Zum Thema MySQL: Das beste ist den MySQL nur auf localhost horchen zu lassen. Also keine externen Zugriffe zuzulassen.
Damit dieses allerdings auch sicher ist, sollte man kein phpMyAdmin "rumliegen" haben, bzw. dieses immer auf aktuellen Stand zu halten.

Generell heißt es wohl immer alles auf aktuellen Stand halten, also die Distribution, FTP, SSH, PHP, MySQL, TYPO3, phpMyAdmin usw. inkl. Extensions. Dazu dann noch immer die aktuellen News rund um Sicherheitslücken in allen möglichen Bereichen.

Ein Sicherer Server ist nicht einfach zu halten Wink

Ansonsten gibt es zwecks Sicherheit bei TYPO3 auch einige Artikel.

http://typo3.org/teams/security/ dort unter anderem http://typo3.org/teams/security/resources/
MfG René
Systemadministrator, Webentwickler

pantanet.de - pantamedia.com - gosna.de

Wishlist
Zitieren
#3
Ging mir ja ausnahmsweise mal nicht um TYPO3, sondern ne selbst zu programmierende Website. Auf nem eigenen VServer, also hängt auch die Absicherung des Servers bei mir. Und wenn dieses Projektchen mal ganz groß werden sollte, will ich halt vermeiden, dass Userdaten gemopst werden können... Ich mein ich kenn nen Hacker, den könnt ich vllt mal bitten zu versuchen den Server zu hacken. Aber jeder geht da ja auch anders dran.
Herzliche Grüße, Markus Köhler
Zitieren
#4
Muss rpflamm zustimmen: alles, was im Web sichtbar ist, kann auch "geklaut" werden, vor allem Bilder, Videos, Animationen. Schließlich landet alles im Browsercache auf der eigenen Festplatte, und selbst wenn es "Sicherungsmethoden" per Javascript geben sollte, spätestens dort wird man ja fündig.
Zitieren
#5
Ist jetzt nicht so ganz die Antwort die ich erwartet hätte. Man sieht ja was für Stress bspw. Mark Zuckerberg wegen angeblichem Code-Klau hatte... Wechseln wir man ein wenig die Nuance dieses Threads. Abgesehn von der technischen Website-Absicherung, wie kann ich eurer Meinung nach sicher stellen, dass meine Idee für das Projekt nicht geklaut wird sobald es online steht?
Herzliche Grüße, Markus Köhler
Zitieren
#6
(08.07.2011, 11:58)mkoehler schrieb: Ging mir ja ausnahmsweise mal nicht um TYPO3, sondern ne selbst zu programmierende Website.

Dort solltest du dann halt die Benutzereingaben Validieren, bevor du diese Verarbeitest.

Bei PHP wären da dann zum Beispiel:

  1. addslashes
  2. stripslashes
  3. mysql_escape_string
  4. escapeshellcmd
  5. intval
  6. floatval
  7. strval
  8. is_numeric
  9. usw. usf.

Das wären einige Funktionen die dann einbrechern das Leben erschweren würden.

Sowas wie REGISTER GLOBALS bei PHP sollte dann natürlich aus sein. Ebenfalls das Arbeiten mit $_GET und $_POST wenn du an einigen Stellen nur aus einer Richtung Daten erwartest, ansonsten halt $_REQUEST wenn du mehrere Erwartest.

Datei Uploads nicht nur anhand ihrer Datei Endung sondern auch über den MIME Type zu kontrollieren wäre auch sehr ratsam.

Mehr fällt mir jetzt gerade nicht ein Wink

(08.07.2011, 12:34)mkoehler schrieb: Ist jetzt nicht so ganz die Antwort die ich erwartet hätte. Man sieht ja was für Stress bspw. Mark Zuckerberg wegen angeblichem Code-Klau hatte... Wechseln wir man ein wenig die Nuance dieses Threads. Abgesehn von der technischen Website-Absicherung, wie kann ich eurer Meinung nach sicher stellen, dass meine Idee für das Projekt nicht geklaut wird sobald es online steht?

Ganz ehrlich, sogut wie gar nicht, außer du meldest irgendwelche Patente, Copyrights und Co an. Und selbst diese helfen vor Ideen klau nicht. Man kann auch ohne irgendwelche Patente und Copyrights vor Gericht ziehen wenn man einen gefunden hat der das kopiert hat, von wegen Geistliches Eigentum usw.
MfG René
Systemadministrator, Webentwickler

pantanet.de - pantamedia.com - gosna.de

Wishlist
Zitieren
#7
Ich denk solche Hacker werden es immer irgendwie schaffen bestimmte Sites lahmzulegen, wenn sie auch noch so gut abgesichert sind. Ich hab mir meinen web hosting Paketen mittlerweile auch immer so einen Backup Service mit hinzugenommen, da dies dann auch nochmal zur Absicherung beiträgt. Werden viele jetzt vielleicht grinsen, aber da ich jetzt auch nicht der absolute Profi bin, und mir so etwas Arbeit erspart bleibt, nutze ich die doch lieber für andere Zwecke.
Zitieren
#8
Full Stack Frameworks wie Symfony oder ZF bieten dir gute Möglichkeiten, deine Website so gut wie möglich abzusichern, da Sie Eingaben sehr gut automatisch validieren können (man muss die Mechanismen dann natürlich auch nutzen).

So kann in Symfony folgendermaßen im Controller auf das Request-Objekt zugegriffen werden:
PHP-Code:
<?php
// Ein Controller
class myController extends sfActions {
  
/**
  * Hier eine Action und der Request inkl sämtlicher Variablen befindet sich bereits getypt als Parameter in der Action
  */
  
public function executeMyAction (sfWebRequest $request) {
    
$request->getParameter
  
}


Zusätzlich kannst du PHPIDS einsetzen, um den Request vorzufiltern, bevor er an deine Anwendung weitergeleitet wird.

Über Passwörter und son Zeug brauchen wir ja nicht zu reden ;-)
Zitieren
#9
Hilfe und Rat könnte man auch bei [Link vom Admin entfernt] bekommen. Stehen auch im Support zur Verfügung schnell.
Zitieren
#10
Ich kann mich meinen Vorrednern nur anschließen.

Entweder auf Frameworks zurückgreifen. Oder auf Opensource Libarys ( gerade für Kritische Bereiche der Webseite ).

Ansonsten wirst du schmerzhaft erfahren müssen, wie viele Fehler man machen kann.

Denn das wirst du, so viel kann man nicht wissen.

Wer es tut, wird kaum noch daran denken alles komplett selbst zu coden.
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste