JLI Spieleprogrammierung Foren-Übersicht JLI Spieleprogrammierung

 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen 
 medals.php?sid=26e7c57f367ce58c2bc7b4a2add6aa1bMedaillen   RegistrierenRegistrieren   ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Internet seite vor angriffen schützen

 
Neues Thema eröffnen   Neue Antwort erstellen    JLI Spieleprogrammierung Foren-Übersicht -> Entwicklung
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Kampfhund
Super JLI'ler


Alter: 42
Anmeldedatum: 20.07.2002
Beiträge: 408

Medaillen: Keine

BeitragVerfasst am: 23.09.2002, 14:47    Titel: Internet seite vor angriffen schützen Antworten mit Zitat

hi,

ich bin dabei eine internetseite bei tripod aufzubauen
und will mich mal über sicherheitslücken schlau machen.

Ich arbeite mit PHP und einer MySQL datenbank und möchte versuchen
meine Seite möglichst sicher zu machen.

Auf meiner Seite soll ein forum entstehen, das ich selber schreibe.
Außerdem soll man die möglichkeit haben sich zu registrieren.
Es soll, wie hier, moderatoren geben, die erweiterte rechte haben.

Meine ersten ansätze sind:

- Zugang nur für registrierte user
- Session an IP gebunden
- Bei Angriffen wird versucht die IP des angreifers für kurze Zeit zu sperren.
Außerdem wird geguckt, von welcher Seite der angreifer kam, wie oft er es versucht hat,
auf welcher Seite er eindringen wollte,
welcher user betroffen war und in welcher Zeit das ganze stattfand.

- aus externen links soll die Session id entfernt werden.
Allerdings habe ich hier ein Problem: wie macht man das?
Das PHP Modul des Apache hängt doch an eine URL immer die Session
ID an. Ich habe gelesen, dass man die ID durch URL Rewriting entfernen kann.

- In den nachrichten im forum soll man bilder einbinden können,
allerdings möchte ich auch hier verhindern, das mittels javascripts in
den image tags die session ids der andern benutzer ausspioniert werden können
oder zu einer anderen seite umgeleitet wird.

Gibt es weitere Dinge, die man beachten sollte?

Außerdem würde ich noch gerne wissen, wie man die Seite optimieren kann,
also ladezeiten verringern und den server entlasten.
Habt ihr gute Tipps oder Links zu diesem Thema?


Danke!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
DaN00b
JLI'ler



Anmeldedatum: 10.08.2002
Beiträge: 159

Medaillen: Keine

BeitragVerfasst am: 23.09.2002, 16:37    Titel: Antworten mit Zitat

ehm das ip sperren wird wohl net viel bringen weil sobald man erneut online geht bekommt man ne neue ip zugewießen...
_________________
Carpe Diem - Seize the day - Nütze den Tag!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Kampfhund
Super JLI'ler


Alter: 42
Anmeldedatum: 20.07.2002
Beiträge: 408

Medaillen: Keine

BeitragVerfasst am: 23.09.2002, 16:41    Titel: Antworten mit Zitat

jaja, das ist schon klar, aber der angreifer muss eben kurz offline gehen, er muss also seine "Arbeit" unterbrechen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
TheMillenium
Dark JLI'ler



Anmeldedatum: 21.07.2002
Beiträge: 1427
Wohnort: World
Medaillen: Keine

BeitragVerfasst am: 23.09.2002, 17:37    Titel: Antworten mit Zitat

Das kann ich in 2 Sekunden...also vergiss es...merk dir lieber den Hostnamen...

Oder speichere ne Datei auf seinem Rechner, die du beim Aufrufen der Seite überprüfst halt so nen Cookie kannst du auch verwenden...
_________________
The source of all power is in its destiny...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kampfhund
Super JLI'ler


Alter: 42
Anmeldedatum: 20.07.2002
Beiträge: 408

Medaillen: Keine

BeitragVerfasst am: 23.09.2002, 17:54    Titel: Antworten mit Zitat

hostname ist ne gute idee. cookie wollte ich sowieso machen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Revil
Senior JLI'ler



Anmeldedatum: 28.07.2002
Beiträge: 242

Medaillen: Keine

BeitragVerfasst am: 24.09.2002, 13:48    Titel: Antworten mit Zitat

cookie löschen kann ich in einer sekunde ;P
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
TheMillenium
Dark JLI'ler



Anmeldedatum: 21.07.2002
Beiträge: 1427
Wohnort: World
Medaillen: Keine

BeitragVerfasst am: 24.09.2002, 15:31    Titel: Antworten mit Zitat

Nagut, aber wenn er deinen Hostnamen in der MySQL Datenbank speichet... Very Happy

Das kannste nicht löschen Wink

Cookie's schon...
_________________
The source of all power is in its destiny...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kampfhund
Super JLI'ler


Alter: 42
Anmeldedatum: 20.07.2002
Beiträge: 408

Medaillen: Keine

BeitragVerfasst am: 25.09.2002, 13:31    Titel: Antworten mit Zitat

ja, ich speicher den host namen in der datenbank.
allerdings kann man ja auch mal vergessen die cookies zu löschen.
der angreifer weiß ja nicht was ich da alles in nem cookie speichere.
genauso mit dem bannen der IP.
er muss ja erstmal drauf kommen das seine IP gebannt ist.

Ich werde bestimmt nicht auf die angezeigte fehlerseite schreiben: "Deine IP wurde für 1 min gebannt und es wurde auf deinem pc ein cookie gefunden, der dich als schädlicher user identifiziert. Deswegen hast du keinen Zugriff auf diese Seite!"
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Kampfhund
Super JLI'ler


Alter: 42
Anmeldedatum: 20.07.2002
Beiträge: 408

Medaillen: Keine

BeitragVerfasst am: 08.10.2002, 14:46    Titel: Antworten mit Zitat

Weiß denn jemand wie das mit dem URL Rewriting funktionier?

Und meine 2te frage ist:
Mit welcher funktion kriege ich den hostnamen und die IP eines user raus, der meine Seite aufruft?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
DarK
Super JLI'ler



Anmeldedatum: 23.07.2002
Beiträge: 452
Wohnort: NRW
Medaillen: Keine

BeitragVerfasst am: 08.10.2002, 15:18    Titel: Antworten mit Zitat

Code:
IP: $REMOTE_ADDR

_________________
"Denken ist Arbeit, Arbeit ist Energie und Energie soll man sparen."

"Theorie ist, wenn man alles weiss, aber nichts funktioniert.
Praxis ist, wenn man nichts weiss, aber alles funktioniert.
Realität ist, wenn nichts funktioniert und keiner weiss warum."

"Es gehört ein wenig Mut dazu nicht das zu tun was ALLE tun"
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    JLI Spieleprogrammierung Foren-Übersicht -> Entwicklung Alle Zeiten sind GMT
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de

Impressum