Sven Rautenberg: Datenbank im Web updaten - Sicherheit

Beitrag lesen

Moin!

Das ist im Endeffekt dann genauso sicher, wie die Passwortabfragen von try2hack.nl - nämlich gar nicht sicher!
;-) Wie weit bist Du gekommen? *g*

Theoretisch wäre ich an Level 2 gescheitert, weil mein Browser beim Eintippen der Zahl "2" beim Usernamen nicht die Zahl ins SWF lassen wollte, sondern immer ein Fenster weitergeschaltet hat.

Level 3 war auch nett fies hinterhältig. Zu Level 5 hatte ich dann das Dekompilat im Web gefunden und dann die neue URL komponiert (was ziemlich simpel war), um dann aufzuhören, als ich eine Seite mit den Lösungen bis Level 9 gefunden hatte.

Summa summarum bleibt die Tatsache bestehen: Client-Side-Authentification ist unsicher, egal wie verschlüsselt sie ist.

Bleiben: HTTP, HTTPS und SSH.
ich habe mit damals in mein Script mehrere Varianten eingebaut:
mit curl http + https
mit fsockopen http, und https soll noch folgen, geht erst seit php 4.3

In der Tat: Die Integration von OpenSSL, die dafür notwendig ist, ist erst dort eingebaut worden. Das macht die Sache aber dann ziemlich einfach, weil man sich um SSL absolut nicht kümmern muß. Die Verbindung ist einfach sicher, und fertig.

Bleibt nur das Problem der Verfügbarkeit auf dem externen System. Zuhause HTTPS zu konfigurieren wäre wohl eher nicht das Problem.

- Sven Rautenberg

--
"Bei einer Geschichte gibt es immer vier Seiten: Deine Seite, ihre Seite, die Wahrheit und das, was wirklich passiert ist." (Rousseau)