[HaBo]

halimeh · 05.12.04, 09:32

Hi folks !

Ich habe eine homepage erstellt und diese bei 100mb4free.de registriert.

Gewisse Dienste auf meiner Homepage sollen aber nur nach Eingabe eines Paßwortes zugänglich sein.Daher habe ich auf meiner eigentlichen Homepage mittels eines HTML-Formulares eine Paßwortabfrage eingebaut.
Verkürzt dargestellt sieht das so aus:

Code:

<input type="password" name="passwrt" size="8" maxlength="8">

Die Seite, die meine Dienste zur Verfügung stellt, ist in PHP geschrieben und fragt das Paßwort folgendermaßen ab (auch etwas verkürzt dargestellt):

Code:

if ($passwrt=="BeispielPaßwort")
{
mail($empfaenger, $betreff, $text, $from);
echo ("mail wurde versandt...");
}
else
{
echo ("falsches Passwort...");
}

Ich wollte jetzt mal fragen, wie sicher das ganze ist.Und wenn es einfach zu knacken ist, wie man so etwas denn knackt.

Ich habe die Seite erst vor kurzem ins Netz gestellt und mir abgesehen von meinem kleinen Paßwortschutz noch keine Gedanken über Sicherheit gemacht.
Da meine Seite relativ belanglos ist, fürchte ich eher keine Hackerangriffe.Ich möchte aber trotzdem mal wissen, wie man seine Seite schützen kann und auf der anderen Seite, wie man schlecht gesicherte Seiten angreifen kann.

Ich sage schon mal danke für alle hilfreichen Antworten.

Greetz.

**Elderan** · 05.12.04, 14:17

Hallo,
also der Script wie du ihn hier gepostet hast ist bislang sicher.

Mögliche Sicherheitslöcher:
- Evt. Fehler im Script davor/danach
- Schlechtes Passwort
- Evt. mög. den Script (Quellcode) von einem anderem Acc auszulesen. Darum müssten sich aber die Server Admins kümmern
- Allgemeine Server Bugs
- Passworteingabe wird mitgeschnitten

Aber evt. solltest du das PW nach dem Abfragen per MD5 hashen und dann die Hash's vergleichen.

Falls jemand dann an den Quellcode kommt, also ihn auslesen kann, müsste dieser erst den Hash wieder in klartext verwandeln.

Anzeige

- Anzeige -

08.12.04, 17:56

Hallo,

Also ich habe eine ähnliche Sache mit PHP gebastelt. Bisher hat noch keiner diese Sachen geknackt. Ich könnte mir vorstellen, dass ein guter Hacker meine geschützen Seiten aufbrechen könnte, aber die Version ist sicherer als .htaccess. Ich würde dir auch empfehlen, die Passwörter zu verschlüsseln. Ach ja, wenn du nicht mit CGI arbeitest, würde ich dir empfehlen, Funpic als kostenlosen Webspace zu nutzen. Du hast da FTP-Zugang, unbegrenzten Traffic und Webspace,... Bei 10mb4free.de habe ich die Erfahrung gemacht, dass ganz oft der Service nicht erreichbar ist. Außerdem ist 100mb4free.de zum Teil mit Werbung ausgestattet. Bei Funpic gibt es keine Werbung

Fruchti

EXS · 08.12.04, 19:50

Passwortüberprüfungen in PHP-Scripts sind sehr sicher, weil es auf einem natürlichem Weg keine Möglichkeit gibt, den Quellcode auszulesen und so die genaue Funktionsweise des Scriptes in Erfahrung zu bringen und mögliche Sicherheitslücken auszunutzen.

Daher sollte dies alles ohne bedenken sein, außer wenn das Script von einer unvertrauenswürdigen Person ausgelesen werden kann, z.b. weil die PHP-Datei auf seinem Rechner befindet :-) oder sonst eine Lücke im Script besteht, die ausgenutzt werden kann, die den Quelltext listet oder direkt das Passwort.

Sollte aber bei den richtigen PHP-Kenntnissen nicht passieren

08.12.04, 20:43

Also ich habe in der Zeit einen Artikel gelesen, in dem stand, dass es Firmen gibt, die Hacker anstellen, um zu sehen, wie gut die Firmenhp geschützt ist. Nur ich brauche bestimmt nichts erwarten, weil mein Bereich nur privat genutzt wird. Da ist eigentlich nichts zu verbergen... Aber ich habe auch meinen Bereich an eine Datenbank angeschlossen, dass man sich automatisch registrieren kann und das Passwort wird automatisch verschlüsselt!!!

Fruchti

EXS · 08.12.04, 21:04

Zitat:

Original von Fruchti
Also ich habe in der Zeit einen Artikel gelesen, in dem stand, dass es Firmen gibt, die Hacker anstellen, um zu sehen, wie gut die Firmenhp geschützt ist. Nur ich brauche bestimmt nichts erwarten, weil mein Bereich nur privat genutzt wird. Da ist eigentlich nichts zu verbergen... Aber ich habe auch meinen Bereich an eine Datenbank angeschlossen, dass man sich automatisch registrieren kann und das Passwort wird automatisch verschlüsselt!!!

Fruchti

Ich möchte mir keine Feinde machen, aber was hat dein Post mit dem Thema zu tun?

**Elderan** · 08.12.04, 21:12

Hallo,

Zitat:

Also ich habe in der Zeit einen Artikel gelesen, in dem stand, dass es Firmen gibt, die Hacker anstellen, um zu sehen, wie gut die Firmenhp geschützt ist.

Kommt drauf an wie man Hacker definiert.
Also die Medien meinen oft Cracker wenn die von Hacker sprechen.

Aber große Firmen bestellen sich oft Cracker (bzw. Hacker => Sicherheitsexperten) um die Sicherheits des Netzwerks etc. zu testen und zu verbessern

halimeh · 08.12.04, 23:01

Hi Leutz !

Erstmal danke für die Antworten.
Ich hätte echt nicht gedacht, daß mein Skript so sicher ist; bin davon ausgegangen, daß das offen wie ein Scheinentor ist.Nun gut, um so besser.

Greetz.

09.12.04, 15:39

Nichts

aber ein paar Hintergrundinformationen können doch manchmal ganz hilfreich sein.

Fruchti

**PuppE** · 13.12.04, 11:11

hi,
also ich will hier keinem seine illusionen rauben, aber es ist keines falls so das php nicht aus gelesen werden kann! alle die noch nicht mit php 5 unterwegs sind sollte sich da in keiner falschen sicheiheit wiegen.
und zu dem script, nein es ist nich sicher eben aus dem oben genannten grund.
du kannst es aber sicher machen indem du deine passwörten und benutzernamen includes (die include datei selbst sollte in einen vom web nicht zugänglichen bereich liegen , über dem apachen also). includen kannst du ganz einfach zur not kannst ja bei php.net nachlesen

wenn du meine rat befolgst kann dir auf "normalem" weg nichts passieren.

so far

püppi

ivegotmail · 13.12.04, 13:22

Zitat:

Original von PuppE
es ist keines falls so das php nicht aus gelesen werden kann!
alle die noch nicht mit php 5 unterwegs sind sollte sich da in keiner falschen sicheiheit wiegen.

kannst du das mal genauer erklären? also was ist der entscheidende unterschied zwischen php5 und den vorherigen versionen in hinsicht auf das auslesen von quellcode?

**PuppE** · 13.12.04, 13:38

ich weis nicht genau ob es bei php5 noch geht, das is der unterschied.

**Elderan** · 13.12.04, 14:08

Hallo,
also man kann PHP Scripts mit dem reinen Browser _nicht_ auslesen, egal ob PHP4 oder PHP5, sofern der Admin des Server nicht extrem in den Standardkonfigs rumspielt.

Die einzigsten Möglichkeit wären:
-FTP Zugang
-Ein andere Script auf dem Server öffnet die Datei (fopen() ) und gibt denn Quellcode aus
-Exploits für PHP/Apache o.ä.
-Zugriffsrechte von Ordner nicht gesetzt.

Aber bei diesen Sachen hilft selbst PHP5 nicht, denn um den FTP Zugang muss sich der Admin kümmern.
Um das öffnen durch andere Script zu verhindern ist der User dran schuld.
Gegen Exploits kann der kleine PHP Programmierer nichts machen, sofern es nicht sein Server ist.

Und für die Zugriffsrechte ist der Admin auch zuständig.

Falls der Server und PHP4 richtig konfiguriert sind, das heißt, Standardkonfig. für PHP sowie Benutzerzugriffsrechte und der PHP Programmierer nicht groß Fahrlässig handelt, indem man z.B. per URL dem Script anweisen kann welche Datei es öffnen soll, so hat ein Angreifer keine Chance den PHP Quellcode auszulesen.

P.S. Dummheit und Sicherheitsbugs auf Server/PHP ebene zählen nicht dazu.

ivegotmail · 13.12.04, 18:15

Zitat:

Original von PuppE
ich weis nicht genau ob es bei php5 noch geht

dann frag ich mich warum du php5 in deinem posting so hervorhebst?

anyway, mich würde trotztdem mal interessieren auf welche möglichkeit des quellcode-auslesens du dich in deinem posting überhaupt bezogen hast?

netDEVilx2k · 14.12.04, 07:19

absolut sicher is ja bekanntlich nichts im leben...

mit ner flatrate und vieeel geduld kommt jeder rein der nach bruteforce googt

..oder?...
( is jetzt mal nur ne pauschale behauptung meiner seits... bin mir nich sicher ob das klappen könnt, da ich mich mit bf nich unbedingt befasst hab)

Anzeige

- Anzeige -

05.12.04, 09:32	#1 (permalink)
halimeh Registriert seit: 18.11.04 Likes: 0	Homepage schützen / angreifen Anzeige Hi folks ! Ich habe eine homepage erstellt und diese bei 100mb4free.de registriert. Gewisse Dienste auf meiner Homepage sollen aber nur nach Eingabe eines Paßwortes zugänglich sein.Daher habe ich auf meiner eigentlichen Homepage mittels eines HTML-Formulares eine Paßwortabfrage eingebaut. Verkürzt dargestellt sieht das so aus: Code: <input type="password" name="passwrt" size="8" maxlength="8"> Die Seite, die meine Dienste zur Verfügung stellt, ist in PHP geschrieben und fragt das Paßwort folgendermaßen ab (auch etwas verkürzt dargestellt): Code: if ($passwrt=="BeispielPaßwort") { mail($empfaenger, $betreff, $text, $from); echo ("mail wurde versandt..."); } else { echo ("falsches Passwort..."); } Ich wollte jetzt mal fragen, wie sicher das ganze ist.Und wenn es einfach zu knacken ist, wie man so etwas denn knackt. Ich habe die Seite erst vor kurzem ins Netz gestellt und mir abgesehen von meinem kleinen Paßwortschutz noch keine Gedanken über Sicherheit gemacht. Da meine Seite relativ belanglos ist, fürchte ich eher keine Hackerangriffe.Ich möchte aber trotzdem mal wissen, wie man seine Seite schützen kann und auf der anderen Seite, wie man schlecht gesicherte Seiten angreifen kann. Ich sage schon mal danke für alle hilfreichen Antworten. Greetz.

13.12.04, 11:11	#10 (permalink)
PuppE Moderator Registriert seit: 13.12.04 Likes: 0	hi, also ich will hier keinem seine illusionen rauben, aber es ist keines falls so das php nicht aus gelesen werden kann! alle die noch nicht mit php 5 unterwegs sind sollte sich da in keiner falschen sicheiheit wiegen. und zu dem script, nein es ist nich sicher eben aus dem oben genannten grund. du kannst es aber sicher machen indem du deine passwörten und benutzernamen includes (die include datei selbst sollte in einen vom web nicht zugänglichen bereich liegen , über dem apachen also). includen kannst du ganz einfach zur not kannst ja bei php.net nachlesen wenn du meine rat befolgst kann dir auf "normalem" weg nichts passieren. so far püppi __________________ [Wer glaubt, dass Projektleiter Projekte leiten, glaubt auch, dass Zitronenfalter Zitronen falten.]

13.12.04, 13:38	#12 (permalink)
PuppE Moderator Registriert seit: 13.12.04 Likes: 0	ich weis nicht genau ob es bei php5 noch geht, das is der unterschied. __________________ [Wer glaubt, dass Projektleiter Projekte leiten, glaubt auch, dass Zitronenfalter Zitronen falten.]

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Schützen von Ordnern	Satsch	Virenschutz · Tools & Aggressive Software	11	17.03.05 20:04
VB.net EXE´s schützen	sartre	Code Kitchen	3	14.03.05 09:46
Sicherheitsluecke im Internet Exlorer: Web-Seiten koennen PC angreifen	justj	News & Ankündigungen	1	26.09.03 11:57
Win2000 im netzwerk angreifen	blueflash	Hacking	13	28.03.02 00:05

05.12.04, 14:17	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, also der Script wie du ihn hier gepostet hast ist bislang sicher. Mögliche Sicherheitslöcher: - Evt. Fehler im Script davor/danach - Schlechtes Passwort - Evt. mög. den Script (Quellcode) von einem anderem Acc auszulesen. Darum müssten sich aber die Server Admins kümmern - Allgemeine Server Bugs - Passworteingabe wird mitgeschnitten Aber evt. solltest du das PW nach dem Abfragen per MD5 hashen und dann die Hash's vergleichen. Falls jemand dann an den Quellcode kommt, also ihn auslesen kann, müsste dieser erst den Hash wieder in klartext verwandeln.

08.12.04, 17:56	#3 (permalink)
Fruchti Guest Likes:	Hallo, Also ich habe eine ähnliche Sache mit PHP gebastelt. Bisher hat noch keiner diese Sachen geknackt. Ich könnte mir vorstellen, dass ein guter Hacker meine geschützen Seiten aufbrechen könnte, aber die Version ist sicherer als .htaccess. Ich würde dir auch empfehlen, die Passwörter zu verschlüsseln. Ach ja, wenn du nicht mit CGI arbeitest, würde ich dir empfehlen, Funpic als kostenlosen Webspace zu nutzen. Du hast da FTP-Zugang, unbegrenzten Traffic und Webspace,... Bei 10mb4free.de habe ich die Erfahrung gemacht, dass ganz oft der Service nicht erreichbar ist. Außerdem ist 100mb4free.de zum Teil mit Werbung ausgestattet. Bei Funpic gibt es keine Werbung Fruchti

08.12.04, 19:50	#4 (permalink)
EXS Registriert seit: 08.12.04 Likes: 0	Passwortüberprüfungen in PHP-Scripts sind sehr sicher, weil es auf einem natürlichem Weg keine Möglichkeit gibt, den Quellcode auszulesen und so die genaue Funktionsweise des Scriptes in Erfahrung zu bringen und mögliche Sicherheitslücken auszunutzen. Daher sollte dies alles ohne bedenken sein, außer wenn das Script von einer unvertrauenswürdigen Person ausgelesen werden kann, z.b. weil die PHP-Datei auf seinem Rechner befindet :-) oder sonst eine Lücke im Script besteht, die ausgenutzt werden kann, die den Quelltext listet oder direkt das Passwort. Sollte aber bei den richtigen PHP-Kenntnissen nicht passieren

08.12.04, 20:43	#5 (permalink)
Fruchti Guest Likes:	Also ich habe in der Zeit einen Artikel gelesen, in dem stand, dass es Firmen gibt, die Hacker anstellen, um zu sehen, wie gut die Firmenhp geschützt ist. Nur ich brauche bestimmt nichts erwarten, weil mein Bereich nur privat genutzt wird. Da ist eigentlich nichts zu verbergen... Aber ich habe auch meinen Bereich an eine Datenbank angeschlossen, dass man sich automatisch registrieren kann und das Passwort wird automatisch verschlüsselt!!! Fruchti

08.12.04, 23:01	#8 (permalink)
halimeh Themenstarter Registriert seit: 18.11.04 Likes: 0	Hi Leutz ! Erstmal danke für die Antworten. Ich hätte echt nicht gedacht, daß mein Skript so sicher ist; bin davon ausgegangen, daß das offen wie ein Scheinentor ist.Nun gut, um so besser. Greetz.

09.12.04, 15:39	#9 (permalink)
Fruchti Guest Likes:	Nichts aber ein paar Hintergrundinformationen können doch manchmal ganz hilfreich sein. Fruchti

13.12.04, 14:08	#13 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, also man kann PHP Scripts mit dem reinen Browser _nicht_ auslesen, egal ob PHP4 oder PHP5, sofern der Admin des Server nicht extrem in den Standardkonfigs rumspielt. Die einzigsten Möglichkeit wären: -FTP Zugang -Ein andere Script auf dem Server öffnet die Datei (fopen() ) und gibt denn Quellcode aus -Exploits für PHP/Apache o.ä. -Zugriffsrechte von Ordner nicht gesetzt. Aber bei diesen Sachen hilft selbst PHP5 nicht, denn um den FTP Zugang muss sich der Admin kümmern. Um das öffnen durch andere Script zu verhindern ist der User dran schuld. Gegen Exploits kann der kleine PHP Programmierer nichts machen, sofern es nicht sein Server ist. Und für die Zugriffsrechte ist der Admin auch zuständig. Falls der Server und PHP4 richtig konfiguriert sind, das heißt, Standardkonfig. für PHP sowie Benutzerzugriffsrechte und der PHP Programmierer nicht groß Fahrlässig handelt, indem man z.B. per URL dem Script anweisen kann welche Datei es öffnen soll, so hat ein Angreifer keine Chance den PHP Quellcode auszulesen. P.S. Dummheit und Sicherheitsbugs auf Server/PHP ebene zählen nicht dazu.

14.12.04, 07:19	#15 (permalink)
netDEVilx2k Registriert seit: 10.12.04 Likes: 0	absolut sicher is ja bekanntlich nichts im leben... mit ner flatrate und vieeel geduld kommt jeder rein der nach bruteforce googt ..oder?... ( is jetzt mal nur ne pauschale behauptung meiner seits... bin mir nich sicher ob das klappen könnt, da ich mich mit bf nich unbedingt befasst hab)

[HaBo]

Homepage schützen / angreifen