Ahoi JensP,

ich hab in nächster Zeit vor mir meine eigene Online Community mittels HTML und PHP zu basteln.

Du meinst ein Forum oder ähnliches? die Community wird sich dann einfeinden und sollten menschen aus Fleisch und Blut sein :)

Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?

Die anführungszeichen sind korekt, denn 100% sicher ist es nie. man kann nur dann nicht gehackt werden wenn man nicht im/am Netz ist. Aber es gibt hohe und niedrige sicherheitsstufen.

Gibt es dazu einige Sicherheitsstandards die man einhalten soll?

Passwört nicht in Klartext speichern sondern z.B. mit md5() kodiert speichern.

Passwortabfragen etc. Serverseitig durchführen.

Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)

Nicht das ich wüsste. aber vll kannst du einen "Freien Mitarbeiter" anheuern der mal versucht sich einzuhacken und dir dann die schwachstellen verät.

Wie merkt man eigentlich das man "gehackt" wurde bzw. jemand gerade dabei ist meine seite zu hacken?

in dem man in die Logs schaut.
in dem auf dem Server fremde, veränderte oder keine Daten mehr sind

Gibt es dafür Tools die ich einsetzen kann die mir eine gewisse Sicherheit garantieren?

Also zum hacken aufjedenfall, kannst dir diese Tools ja runterladen und mal versuchen deine eigene seite zu hacken bzw. Script-Kidi spielen.

MfG

Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?

Wenn es mit SSL kommt und die Sessionlogik und die Rechtelogik korrekt ist. Allerdings scheint PHP immer die Tendenz zur Unsicherheit zu haben.
Wenn Du aber auf SSL verzichtest und ansonsten alles OK ist, wäre das auch schon relativ sicher.   :)

Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)

Die Messung besteht so zu sagen darin zu wissen was Du tust, wenn Du ein Community-System entwickelst.

Wie merkt man eigentlich das man "gehackt" wurde bzw. jemand gerade dabei ist meine seite zu hacken?

Eventuell gar nicht, eventuell sind Daten geändert, eventuell kommt man selbst nicht mehr ins System, eventuell ist das System weg, eventuell kommt man nicht mehr auf den Rechner, eventuell ist der Rechner SW-mässig weg.

Gibt es dafür Tools die ich einsetzen kann die mir eine gewisse Sicherheit garantieren?

Glaube ich eher nicht.

Hi,

Bei der Vorbereitung hab ich zum Thema "Security" mal einige Fragen.
Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?
Gibt es dazu einige Sicherheitsstandards die man einhalten soll?
Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)
Ich hab auch schon google befragt, allerdings finde ich zum Thema "secure programming" hauptsächlich Codebooks für Unix Systeme oder recht veraltete (Jahr 2000) Berichte.

Falls du es noch nicht gemacht hast solltest du dich auf jeden Fall ueber die Themen XSS und sql-injections informieren.
Das solltest du unbedingt abfangen.

mfG,
steckl