[VH] PHP bei vRhs

Zitat:

Original von sina91 Man kann sich aber auch verrückt machen Ich meine, wenn wir darüber nachdenken, was theoretisch alles möglich ist, sollten wir dank der Impressumspflicht schon gar keine vRhs mehr aufbauen, das könnte ja Einbrecher etc. anlocken. Bei einem vRh wird ein schlauer Hacker sicherlich einen Downloadserver einrichten, da bei Free Webspace Anbietern ja meist unendlich Traffic vorhanden ist.

Seh ich genauso.
Willst du jetzt jeder Person im Net sagen, die PHP verwendet (und das nicht nur auf vRh's), "Nein das darfst du nicht!" Man könnte ja dies und das mit deinem Server tun und ihn für Jenes benutzen. Mein Gott, lass anderen doch den Spaß mit PHP zu Experimentieren. Irgendwie muss man es doch lernen oder? Oder willst du mir erzählen das du gleich von Anfang an alles für deine Sicherheit getan hast? Viele Höfe benutzen nichtmal viele PHP Sachen, sondern eher einzelne Dinge die einem das Leben erleichtern, na und? Wenn die Pferde dann weg sind hat man halt Pech gehabt

mein Mann hat da mal was rausgesucht, das wollte ich euch mal posten :


*Sicheres PHP-Programmieren für Einsteiger*
http://www.oreilly.de/artikel/php_sicherheit.html
https://wwwbs1.informatik.htw-dresden.de...sicherheit.html

*weiteres offizielles Manual*
http://www.php.net/manual/de/security.php

*sehr interessant und in englisch:*
http://www.webkreator.com/php/concepts/php-security.html
http://www.phpadvisory.com/ sehr sehr gut!! - hier sind diverse Sache wie XSS etc. erklärt.
http://www.securityfocus.com/printable/infocus/1706 - Securing PHP Step-by-Step

und nicht zu vergessen (engl)
Securing PHP: Step-by-step http://www.securityfocus.com/printable/infocus/1706>

Zitat:

Original von +Debbie+ Seh ich genauso. Willst du jetzt jeder Person im Net sagen, die PHP verwendet (und das nicht nur auf vRh's), "Nein das darfst du nicht!" Man könnte ja dies und das mit deinem Server tun und ihn für Jenes benutzen. Mein Gott, lass anderen doch den Spaß mit PHP zu Experimentieren. Irgendwie muss man es doch lernen oder? Oder willst du mir erzählen das du gleich von Anfang an alles für deine Sicherheit getan hast? Viele Höfe benutzen nichtmal viele PHP Sachen, sondern eher einzelne Dinge die einem das Leben erleichtern, na und? Wenn die Pferde dann weg sind hat man halt Pech gehabt

Nein, ich möchte nur jeden, der damit anfängt, darauf hinweisen, dass es da eine Problematik gibt, die er nicht außer Acht lassen sollte. Das heißt längst nicht, dass er kein PHP lernen kann.

Zitat:

Original von NeverlandNessa mein Mann hat da mal was rausgesucht, das wollte ich euch mal posten : *Sicheres PHP-Programmieren für Einsteiger* http://www.oreilly.de/artikel/php_sicherheit.html https://wwwbs1.informatik.htw-dresden.de...sicherheit.html *weiteres offizielles Manual* http://www.php.net/manual/de/security.php *sehr interessant und in englisch:* http://www.webkreator.com/php/concepts/php-security.html http://www.phpadvisory.com/ sehr sehr gut!! - hier sind diverse Sache wie XSS etc. erklärt. http://www.securityfocus.com/printable/infocus/1706 - Securing PHP Step-by-Step und nicht zu vergessen (engl) Securing PHP: Step-by-step http://www.securityfocus.com/printable/infocus/1706>

Vielen Dank, dass dein Mann sich die Mühe gemacht hat Das hilft mit Sicherheit, so manche persönliche Katastrophe zu verhindern.

Zitat:

Original von NeverlandNessa http://www.securityfocus.com/printable/infocus/1706 - Securing PHP Step-by-Step

diese seite geht leider nicht :S

Wie oft ist das schon vorgefallen? Genauso gut kann ich auch nen Account bei oyla oder so knacken und die HP löschen...

Es geht hier ja auch um weitere mögliche Risiken die viel schlimm sind als nur Pferde gelöscht bekommen, das war ja nur ein Beispiel.

Trotzdem passiert sowas eh nur sehr sehr selten (habs aber noch nie gesehen/gehört) und jetzt Panik zu machen find ich nicht gerade gut...

Ich habe Angriffe selbst schon erlebt (keine erfolgreichen, aber man sieht sie trotzdem, wenn man weiß wo).
Ich hab auch gar nicht vor Panik zu machen ... ich will auf eine Problematik hinweisen.

Zitat:

Original von fabbily Trotzdem passiert sowas eh nur sehr sehr selten (habs aber noch nie gesehen/gehört) und jetzt Panik zu machen find ich nicht gerade gut...

Frag mal hier bei den Hofbesitzern rum, da wirst du sicher einige finden, die schon mal Eindringlinge in ihrer Datenbank hatten, wie auch immer sich das bemerkbar gemacht hat.
Da muss nur einmal ein Profi dran und schon gibt es möglicherweise mehr Probleme als gelöschte Daten.

Bei so kleinen Höfen mit 50 Mitglieder (ungefär) wird wohl keiner was großartig anstellen, oder?

Oh doch...auf irgenwelche Mitgliederzahlen, Pferdezahlen etc. kommt es denen nicht wirklich an. Der Sinn eines solchen "Angriffs" liegt ja nicht primär darin einfach nur die Daten zu löschen, sondern den Server für eigene Zwecke zu missbrauchen.
Und wie heißt es immer so schön "Vorsicht ist besser als Nachsicht" Ich denke, es kann nie schaden wenn man sich mit dem Thema Sicherheit auseinandersetzt.

Also nach meiner Meinung hat die TE recht, mir sind auch selbst viele Sicherheitslücken bei meinem eigenen vRh aufgefallen, die ich aber in einer neuen Version zu beheben versuche.

Allerdings ist in dem einen Jahr, in dem ich ihn offen hatte, nichts passiert, was wiederum die These bestätigt, dass sowas zwar passieren KANN, aber ich bezweifle dass jemand die feindliche Übername eines Funpic-Account (Registrierung kostenlos) plant und dann die HP schamlos als Erotik-Plattform nutzt xD

Zitat:

Original von .Maybe [...]dass sowas zwar passieren KANN, aber ich bezweifle dass jemand die feindliche Übername eines Funpic-Account (Registrierung kostenlos) plant und dann die HP schamlos als Erotik-Plattform nutzt xD

Immer wieder gibt es Leute, die alles besser erklären können als ich
Ich gehe auch mal davon aus, dass das auch für Lima-City Accounts gilt xD

Was ist TE?

Zitat:

Original von 1Sm!le Wo ist das Problem? PHP ist *nicht* zum Herumprobieren geeignet. PHP ist eine Sprache, mit der man einen Webserver in einem gewissen Sinne steuern kann. Nutzt man Fehler und Möglichkeiten in PHP, kann man den ganzen Webserver auch übernehmen. Bei HTML kann jemand dein Passwort knacken ... bei PHP kann jemand mit deinem Server echten Schaden anrichten.

Hast du schon mal einen Programmierer gefragt, wie er PHP gelernt hat? Genau: durch Ausprobieren!! Alle unsere Profis haben genauso angefangen, und der eine oder andere hat die bittere Pille schlucken müssen, denn: der Serverbetreiber belangt den Benutzer, der den Code auf den Server gebracht hat, falls etwas passiert. Ich musste es selbst schon erleben, hatte eine Sicherheitslücke in meiner Homepage und der Hoster hat sie kurzerhand gesperrt, bis ich die Lücke behoben hatte. Im Notfall löscht er auch alles, wenn es sein muss.
Und wer denkt, dass man heutzutage einen Server nicht mehr gegen Angriffe von aussen schützt, denkt falsch. Die meisten Hoster bauen Sperren (= safe mode) ein, so dass ein Zugriff über eine URL in die Datenbank gar nicht erst möglich ist. Ganz zu schweigen von der Hardware, die ist mittlerweile recht gut gegen solche Angriffe geschützt. Wäre sie es nicht, könnte jemand, der der Firma schaden will, einfach einen Hostaccount eröffnen und dann drauflos proggen und den Server kaputtmachen. Das wäre schon allein für den Betreiber ein so grosses Risiko, dass er kaum Webspace vermieten würde, wenn nicht gewisse Barrieren vorhanden wären.
Im schlimmsten Fall kann euch jemand Dateien oder Datenbanken löschen, und falls ein fehlerhafter Code trotzdem mal einen Zugriff möglich macht, dann meldet sich der Hoster bei euch und schlimmstenfalls dürft ihr dafür bezahlen

Also, was lernen wir daraus? Alles, was man im Web macht, geschieht auf eigene Verantwortung. Wer mit PHP herumprobiert, der lernt vielleicht mit der Zeit, worauf man achten müssen, aber die Sicherheits"lücken" bei PHP dürfen auf keinen Fall davon abhalten, damit etwas zu machen. Sicher ist es ideal, wenn man das ganze in Ruhe auf einem virtuellen Server (=xampp) entwickelt und später erst ins Netz stellt, wenn es keine Sicherheitslücken mehr gibt. Aber das ganze muss ja auch jemand austesten und das geht nunmal am einfachsten, wenn man den ganzen Code ins Netz lädt.
Ich finde es gut, wenn ihr euch Gedanken über die Sicherheit macht, und wenn nicht, dann macht besser ein Backup von eurer Seite (Datenbank nicht vergessen)

Dass es längst Schutzmöglichkeiten gibt, die man beim Programmieren nicht selbst ergreift, habe ich gar nicht bestritten. Die Tatsache, dass hier aber aus meiner Sicht viel zu oft unverantwortlich wenig nachgedacht wurde, steht weiter im Raum.
@Rainy: Ich würde mich sogar selbst ganz dreist in dieser Stufe als Profi bezeichnen. Angefangen habe ich genausmit Ausprobieren ... aber auf XAMPP. Und als ich einiges gelernt habe, ich glaube 1 Jahr später, war das ganze überhaupt das erste Mal von außen erreichbar. Und eben so ein Verhalten wäre denke ich durchaus wünschenswert und trotzdem würde es niemandem am PHP lernen hindern ...

Zitat:

Original von 1Sm!le @Rainy: Ich würde mich sogar selbst ganz dreist in dieser Stufe als Profi bezeichnen. Angefangen habe ich genausmit Ausprobieren ... aber auf XAMPP. Und als ich einiges gelernt habe, ich glaube 1 Jahr später, war das ganze überhaupt das erste Mal von außen erreichbar. Und eben so ein Verhalten wäre denke ich durchaus wünschenswert und trotzdem würde es niemandem am PHP lernen hindern ...

Ja, hab ich auch so gemacht, aber ich habs relativ früh online gestellt, war auch gut, weil ich nur so genügend Feedbacks dazu erhalten habe. Damals war ich aber auch noch nicht in der Ausbildung zur Applikationsentwicklerin, hatte niemand, den ich fragen konnte und hab da schon die eine oder andere Dummheit gemacht, deshalb würde ich es auch jetzt niemandem verübeln. Ich nehme an, du hattest dann wohl eine Möglichkeit, dass dir jemand vor Ort das Ganze durchgetestet hat, das hatte ich leider dazumals nicht. Es macht auch keinen Spass, wenn man ein Projekt entwickelt und keine zweite Meinung dazu hört und wenn - wie es bei den meisten hier der Fall ist - sich niemand aus der Familie oder in der Schule aktiv damit befasst, dann bleibt einem gar keine andere Möglichkeit, es einfach mal online zu stellen.

Ich sehe jetzt da nichts Schlimmes daran, wenn jemand die Sicherheit der Homepage vernachlässigt - er kann sich ja bestenfalls selbst damit schaden, deshalb kümmert mich das auch nicht.

In unseren Rechenzentren gibts übrigens Schutzmechanismen und Programme, die millionenschwer sind und die nicht so einfach mit PHP zu knacken sind. Ergo gab es auch seit Jahren keinen nennenswerten Hack mehr... Bei kleineren Hostern sieht das vielleicht anders aus, aber die sind ja auch selber schuld, wenn sie sich nicht schützen...