Frage wegen PHP sichtbarkeit

[Huggy]

Hi


Ich habe schon so oft gelesen und selber probiert, dass man den PHP teil einer Seite aus dem Netz nicht sehen kann.

Meine frage:


Wenn ich NUR! einen benutzer habe - NUR ein passwort und damit dann zugang zu ner anderen Seite bekomme, müsste es doch von der sicherheit egal sein, ob ich mit aufwändigsten Javascripts arbeite oder einfach in PHP ne If anweisung mache oder?


Gegen bruteforcen kann man doch bei beidem was machen, oder? :-D


Mfg

der Interessensfrager,


Huggy

 

[HKA]

Javascript sollte man NIE benutzen um etwas zu sichern. Wenn der Angreifer den Quelltext und das Passwort sieht (auch wenn verschlüsselt) ist es nicht sehr schwer das zu knacken.
Es stimmt mit PHP kann man einfach Sicherheit schaffen, da der Angreifer nicht den Quelltext lesen kann.
Jetzt kommt das Aber.
Aber PHP hat genauso Lücken. Man kann häufig mit DDOS attaken den Server überlasten, sodass er doch den Quellcode rausrückt. Man hat das gleiche Bruteforce Problem wie immer. Vor Bruteforce kann man sich teilweise schützen aber ein findiger Cracker hebelt das auch schnell aus. Man muss in seinen PHP Scripten sich auch vor Code, File injections in acht nehmen. Wenn du mal eine Datenbank benutzt dann auch vor SQL-injections.
Les dazu mal etwas im Wiki.

MFG -=HKA=-

 

[ERit]

die frage dabei ist halt, was du mit dem script anstellen möchtest. mit javascript hast du eigentlich keine macht über datenbanken oder systembefehle. javascript dient zur dynamischen darstellung von html elementen. außerdem lassen sich die meisten dinge ganz einfach mit php realsieren.

 

[Huggy]

Danke euch!


SQL injection hab ich schon geslesen, wie ich mich davor schütz..schaun wir mal *g*


Aber ich danke euch sehr für die jetzigen Antworten!


MFg

Huggy

 

[LX]

Original von HKA
Man kann häufig mit DDOS attaken den Server überlasten, sodass er doch den Quellcode rausrückt.

Hab ich noch nicht erlebt. Aber selbst wenn... wenn man nur einen einfachen Login-geschützten Bereich haben möchte, dann legt man das Passwort eben MD5-verschlüsselt im Quelltext ab. So braucht man sich nicht um SQL-Injections kümmern (da keine Datenbank dahinter hängt) und gesetzt dem unwahrscheinlichen Falle, da käme jemand an den Quelltext ran, dann hat derjenige immer noch net viel davon.

 

[HKA]

Das stimmt. Man sollte es wenn schon verschlüsselt ablegen. Ich finde aber besser es einen Teil in eine DB und einen in eine Txt zu legen und zwar auch md5 verschlüsselt. Das finde ich bietet optimale Sicherheit. Mit wenig Aufwand.

MFG -=HKA=-

 

[lightsaver]

wenns nur um nen verschlüsselten bereich geht, wieso dann nicht htaccess?

 

[Huggy]

Aber md5 ist doch nicht sicher?

Ich hab 50 Gb an rainbow tables, länge 1-8 glaub ich..

damit hab ich biss jetzt eig alles gefunden :-D






(nagut, hab erst ...3?4? mal was gesucht) *g*

 

[LX]

Original von Huggy
Aber md5 ist doch nicht sicher?

Ich hab 50 Gb an rainbow tables, länge 1-8 glaub ich..

MD5 ist sicher genug, zudem muss man eben erstmal an den Hash kommen. Und sobald der mit einem Salt berechnet wird, kannst du dir deine Rainbow-Tables auch in den Skat drücken

Mit entsprechend Aufwand ist alles zu knacken, aber den Aufwand kann man so groß wie möglich machen.

 

[Heinzelotto]

Original von HKA
Das stimmt. Man sollte es wenn schon verschlüsselt ablegen. Ich finde aber besser es einen Teil in eine DB und einen in eine Txt zu legen und zwar auch md5 verschlüsselt. Das finde ich bietet optimale Sicherheit.

Das ist, wie ich finde, keine optimale lösung, denn wenn ein angreifer einen teil des hashs hat, weiß er erstens, wie viel er noch zu cracken hat und zweitens ist es auch nicht mehr so schwer, die andere Hälfte zu erraten.
aber immernoch schlechter als den ganzen hash cracken zu müssen, da geb ich dir recht