JLI Spieleprogrammierung

[Kampfhund]

hi,

ich bin dabei eine internetseite bei tripod aufzubauen
und will mich mal über sicherheitslücken schlau machen.

Ich arbeite mit PHP und einer MySQL datenbank und möchte versuchen
meine Seite möglichst sicher zu machen.

Auf meiner Seite soll ein forum entstehen, das ich selber schreibe.
Außerdem soll man die möglichkeit haben sich zu registrieren.
Es soll, wie hier, moderatoren geben, die erweiterte rechte haben.

Meine ersten ansätze sind:

- Zugang nur für registrierte user
- Session an IP gebunden
- Bei Angriffen wird versucht die IP des angreifers für kurze Zeit zu sperren.
Außerdem wird geguckt, von welcher Seite der angreifer kam, wie oft er es versucht hat,
auf welcher Seite er eindringen wollte,
welcher user betroffen war und in welcher Zeit das ganze stattfand.

- aus externen links soll die Session id entfernt werden.
Allerdings habe ich hier ein Problem: wie macht man das?
Das PHP Modul des Apache hängt doch an eine URL immer die Session
ID an. Ich habe gelesen, dass man die ID durch URL Rewriting entfernen kann.

- In den nachrichten im forum soll man bilder einbinden können,
allerdings möchte ich auch hier verhindern, das mittels javascripts in
den image tags die session ids der andern benutzer ausspioniert werden können
oder zu einer anderen seite umgeleitet wird.

Gibt es weitere Dinge, die man beachten sollte?

Außerdem würde ich noch gerne wissen, wie man die Seite optimieren kann,
also ladezeiten verringern und den server entlasten.
Habt ihr gute Tipps oder Links zu diesem Thema?


Danke!

[DaN00b]

ehm das ip sperren wird wohl net viel bringen weil sobald man erneut online geht bekommt man ne neue ip zugewießen...
_________________
Carpe Diem - Seize the day - Nütze den Tag!

[Kampfhund]

jaja, das ist schon klar, aber der angreifer muss eben kurz offline gehen, er muss also seine "Arbeit" unterbrechen.

[TheMillenium]

Das kann ich in 2 Sekunden...also vergiss es...merk dir lieber den Hostnamen...

Oder speichere ne Datei auf seinem Rechner, die du beim Aufrufen der Seite überprüfst halt so nen Cookie kannst du auch verwenden...
_________________
The source of all power is in its destiny...

[Kampfhund]

hostname ist ne gute idee. cookie wollte ich sowieso machen.

[Revil]

cookie löschen kann ich in einer sekunde ;P

[TheMillenium]

Nagut, aber wenn er deinen Hostnamen in der MySQL Datenbank speichet...

Das kannste nicht löschen

Cookie's schon...
_________________
The source of all power is in its destiny...

[Kampfhund]

ja, ich speicher den host namen in der datenbank.
allerdings kann man ja auch mal vergessen die cookies zu löschen.
der angreifer weiß ja nicht was ich da alles in nem cookie speichere.
genauso mit dem bannen der IP.
er muss ja erstmal drauf kommen das seine IP gebannt ist.

Ich werde bestimmt nicht auf die angezeigte fehlerseite schreiben: "Deine IP wurde für 1 min gebannt und es wurde auf deinem pc ein cookie gefunden, der dich als schädlicher user identifiziert. Deswegen hast du keinen Zugriff auf diese Seite!"

[Kampfhund]

Weiß denn jemand wie das mit dem URL Rewriting funktionier?

Und meine 2te frage ist:
Mit welcher funktion kriege ich den hostnamen und die IP eines user raus, der meine Seite aufruft?

[DarK]