![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo,
ich beschäftige mich gerade mit dem Thema Sicherheit bei mehr oder weniger statischen Webseiten und würde dazu gerne ein paar Fragen stellen.
Es gibt anscheinend Web-Shop-Systeme die ohne Datenbank auskommen. Teilweise basieren die wohl auf JavaScript, so dass nicht mal mehr PHP-Code
auf dem Server ausgeführt werden muss. Das sieht dann so aus, dass man auf dem eigenen PC eine Software installiert, die einen für Laien geeigneten grafischen HTML-Editor und eine FTP-Schnittstelle zum Hochladen der Dateien auf den Webspace besitzt.
Mal abgesehen davon, wie sinnvoll es ist, ein derartiges Shop-System ohne Datenbank zu nutzen...gibt es bei Webseiten, auf denen ausschließlich Client-Seitiger Code läuft (HTML, CSS, JavaScript), irgendwelche Angriffsmöglichkeiten, um beim Aufruf der Seite durch andere Besucher Schadcode an diese zu übermitteln? Ich meine damit keine modifizierten URLs, die man per Email versendet, sondern authentische Seitenaufrufe durch den Besucher, also z.B. durch Anklicken eines Lesezeichens im Browser.
Was ist, wenn man PHP-Skripte einsetzt (z.B. um Daten in einem CheckOut-Prozess Seitenübergreifend zu verwenden), aber keine Datenbank nutzt? Zu XSS-Angriffen habe ich gelesen, dass Persistente Angriffe den Schadcode in der Datenbank speichern und diesen so bei Seitenaufrufen durch andere Besucher an diese übermitteln können. Gibt es ohne Datenbank keine Möglichkeit, beim Seitenaufruf durch andere Besucher manipulierten Code zu übermitteln?
Zusammenfassend betrachtet würde ich gerne wissen, ab welchem Level es in Bezug auf Sicherheitslücken im Code gefährlich wird bzw. ab wann man sagen kann, dass eine Seite trotz Programmierung auch ohne ständige Wartung aufgrund der verwendeten Sprachen sicher ist?
Freundliche Grüße
Shady
ich beschäftige mich gerade mit dem Thema Sicherheit bei mehr oder weniger statischen Webseiten und würde dazu gerne ein paar Fragen stellen.
Es gibt anscheinend Web-Shop-Systeme die ohne Datenbank auskommen. Teilweise basieren die wohl auf JavaScript, so dass nicht mal mehr PHP-Code
auf dem Server ausgeführt werden muss. Das sieht dann so aus, dass man auf dem eigenen PC eine Software installiert, die einen für Laien geeigneten grafischen HTML-Editor und eine FTP-Schnittstelle zum Hochladen der Dateien auf den Webspace besitzt.
Mal abgesehen davon, wie sinnvoll es ist, ein derartiges Shop-System ohne Datenbank zu nutzen...gibt es bei Webseiten, auf denen ausschließlich Client-Seitiger Code läuft (HTML, CSS, JavaScript), irgendwelche Angriffsmöglichkeiten, um beim Aufruf der Seite durch andere Besucher Schadcode an diese zu übermitteln? Ich meine damit keine modifizierten URLs, die man per Email versendet, sondern authentische Seitenaufrufe durch den Besucher, also z.B. durch Anklicken eines Lesezeichens im Browser.
Was ist, wenn man PHP-Skripte einsetzt (z.B. um Daten in einem CheckOut-Prozess Seitenübergreifend zu verwenden), aber keine Datenbank nutzt? Zu XSS-Angriffen habe ich gelesen, dass Persistente Angriffe den Schadcode in der Datenbank speichern und diesen so bei Seitenaufrufen durch andere Besucher an diese übermitteln können. Gibt es ohne Datenbank keine Möglichkeit, beim Seitenaufruf durch andere Besucher manipulierten Code zu übermitteln?
Zusammenfassend betrachtet würde ich gerne wissen, ab welchem Level es in Bezug auf Sicherheitslücken im Code gefährlich wird bzw. ab wann man sagen kann, dass eine Seite trotz Programmierung auch ohne ständige Wartung aufgrund der verwendeten Sprachen sicher ist?
Freundliche Grüße
Shady
