nicht angemeldet
IT Security
Hallo Forum ;-)
ich hab in nächster Zeit vor mir meine eigene Online Community mittels HTML und PHP zu basteln.
Bei der Vorbereitung hab ich zum Thema "Security" mal einige Fragen.
Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?
Gibt es dazu einige Sicherheitsstandards die man einhalten soll?
Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)
Ich hab auch schon google befragt, allerdings finde ich zum Thema "secure programming" hauptsächlich Codebooks für Unix Systeme oder recht veraltete (Jahr 2000) Berichte.
Wie merkt man eigentlich das man "gehackt" wurde bzw. jemand gerade dabei ist meine seite zu hacken?
Gibt es dafür Tools die ich einsetzen kann die mir eine gewisse Sicherheit garantieren?
Schonmal vorab vielen Dank für die Antworten.
Grüße,
Jens
-
Ahoi JensP,
ich hab in nächster Zeit vor mir meine eigene Online Community mittels HTML und PHP zu basteln.
Du meinst ein Forum oder ähnliches? die Community wird sich dann einfeinden und sollten menschen aus Fleisch und Blut sein :)
Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?
Die anführungszeichen sind korekt, denn 100% sicher ist es nie. man kann nur dann nicht gehackt werden wenn man nicht im/am Netz ist. Aber es gibt hohe und niedrige sicherheitsstufen.
Gibt es dazu einige Sicherheitsstandards die man einhalten soll?
Passwört nicht in Klartext speichern sondern z.B. mit md5() kodiert speichern.
Passwortabfragen etc. Serverseitig durchführen.
Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)
Nicht das ich wüsste. aber vll kannst du einen "Freien Mitarbeiter" anheuern der mal versucht sich einzuhacken und dir dann die schwachstellen verät.
Wie merkt man eigentlich das man "gehackt" wurde bzw. jemand gerade dabei ist meine seite zu hacken?
in dem man in die Logs schaut.
in dem auf dem Server fremde, veränderte oder keine Daten mehr sindGibt es dafür Tools die ich einsetzen kann die mir eine gewisse Sicherheit garantieren?
Also zum hacken aufjedenfall, kannst dir diese Tools ja runterladen und mal versuchen deine eigene seite zu hacken bzw. Script-Kidi spielen.
MfG
--
Alle Angaben wie immer ohne Gewähr -
Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?
Wenn es mit SSL kommt und die Sessionlogik und die Rechtelogik korrekt ist. Allerdings scheint PHP immer die Tendenz zur Unsicherheit zu haben.
Wenn Du aber auf SSL verzichtest und ansonsten alles OK ist, wäre das auch schon relativ sicher. :)Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)
Die Messung besteht so zu sagen darin zu wissen was Du tust, wenn Du ein Community-System entwickelst.
Wie merkt man eigentlich das man "gehackt" wurde bzw. jemand gerade dabei ist meine seite zu hacken?
Eventuell gar nicht, eventuell sind Daten geändert, eventuell kommt man selbst nicht mehr ins System, eventuell ist das System weg, eventuell kommt man nicht mehr auf den Rechner, eventuell ist der Rechner SW-mässig weg.
Gibt es dafür Tools die ich einsetzen kann die mir eine gewisse Sicherheit garantieren?
Glaube ich eher nicht.
-
Hi,
Bei der Vorbereitung hab ich zum Thema "Security" mal einige Fragen.
Da die Community ja auch ein Login Script enthalten soll, lautet meine erste Frage, ab wann denn ein solches Script als "sicher" gilt?
Gibt es dazu einige Sicherheitsstandards die man einhalten soll?
Kann ich die Sicherheit irgendwie messen? z.B anhand des Quellcodes oder anderen Daten?? (welche??)
Ich hab auch schon google befragt, allerdings finde ich zum Thema "secure programming" hauptsächlich Codebooks für Unix Systeme oder recht veraltete (Jahr 2000) Berichte.Falls du es noch nicht gemacht hast solltest du dich auf jeden Fall ueber die Themen XSS und sql-injections informieren.
Das solltest du unbedingt abfangen.mfG,
steckl-
Hi,
danke für die Antworten. Hätte jetzt aber noch eine Frage :-)
Wie ist es denn mit der Haftung?
Kann ein User Schadensersatz (oder sonstiges) von mir als Webmaster einfordern, falls der Server tatsächlich mal gehackt wurde?
Oder ist dann der Provider (Hosting) dafür haftbar?Fragen über Fragen! :-)
Viele Grüße,
Jens-
Hi,
Wie ist es denn mit der Haftung?
Kann ein User Schadensersatz (oder sonstiges) von mir als Webmaster einfordern, falls der Server tatsächlich mal gehackt wurde?
Oder ist dann der Provider (Hosting) dafür haftbar?Ich kenn mich damit nicht aus, aber ich hab mal das Thema und Titel geandert, da dir so vielleicht eher weitergeholfen wird.
mfG,
steckl-
Ahoi steckl,
Wie ist es denn mit der Haftung?
Kann ein User Schadensersatz (oder sonstiges) von mir als Webmaster einfordern, falls der Server tatsächlich mal gehackt wurde?
Oder ist dann der Provider (Hosting) dafür haftbar?Ich kenn mich damit nicht aus, aber ich hab mal das Thema und Titel geandert, da dir so vielleicht eher weitergeholfen wird.
ich kenn mich damit auch nicht aus, aber auf vielen seiten schließen sich die anbieter per AGB von einer Haftung oder Schadensersatzansprüche bei ausfall, aus welchem grund auch immer, aus. Ob das Rechlich i.O. ist oder die AGB somit rechtswidrig ist weiss ich nicht.
MfG
-
-
-