zurück zur Startseite
  


Zurück XHTMLforum > Webentwicklung (außer XHTML und CSS) > Serveradministration und serverseitige Scripte
Seite neu laden Sicherheit: Dateien löschen auf Webspace

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 19.04.2011, 21:00
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 11.12.2005
Beiträge: 1.494
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard Sicherheit: Dateien löschen auf Webspace

Hallo miteinander,

ich hab da mal ne Frage

Details:
Ein flat-file CMS mit Benutzersteuerung hat eine Datei mit dem Namen "Benutzer.php", die alle Daten zu einem Benutzer speichert (keine Datenbank, sondern ein reines Textfile) und ist in etwa so aufgebaut:

PHP-Code:
<?php
user1 
"user1|firstname lastname|email|role|passwort|..."
user2 "user2|firstname lastname|email|role|passwort|..."
user3 = ...
?>
Diese Datei hat Lese/Schreibrechte damit man im CMS Benutzer anlegen/editieren/löschen kann und liegt in einem Konfigurationsverzeichnis des CMS auf meinem Webspace.

Nun zur Frage:
Kann irgend jemand Unbekanntes diese Datei per externen Zugriff HTTP/FTP löschen? Mir geht es um die Sicherheit, dass niemand außer mir diese Datei löschen kann.

Wenn ja, wie kann man sich dagegen absichern, beziehungsweise bestimmte Konfigurationsdateien vor solchen Möglichkeiten schützen?

Danke für jede Info hierzu.
__________________
Personal stuff
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 19.04.2011, 23:56
Benutzerbild von fox
fox fox ist offline
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 11.09.2006
Beiträge: 1.010
fox sorgt für eine eindrucksvolle Atmosphärefox sorgt für eine eindrucksvolle Atmosphäre
Standard

Nein, wenn der Server richtig konfiguriert ist (und das ist in der Regel der Fall), dann kann niemand diese Datei lesen. Schreiben per HTTP ist außerdem meistens nichtmal dann möglich, wenn alles falschkonfiguriert wurde.

Man kann auch die Variablen nicht sehen, wenn PHP aktiv ist. Wenn nicht, dann wird der Quelltext deiner Datei ausgegeben. Um dies zu verhindern kannst du die Datei in ein Verzeichnis stecken, das von außerhalb nicht zugreifbar ist (über dem Wurzelverzeichnis) oder den Zugriff per .htaccess:

Code:
deny from all
verbieten. Die Dateirechte (Lesen/Schreiben/Ausführen) beziehen sich auf lokale Nutzer und Prozesse, wie z.B. Apache mit PHP.
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 20.04.2011, 08:32
Oni Oni ist offline
Benutzer
neuer user
 
Registriert seit: 18.12.2007
Beiträge: 37
Oni befindet sich auf einem aufstrebenden Ast
Standard

Wie fox ja bereits erläutert hat dürfte es dritten unmöglich sein besagte Datei zu löschen.
Nichtsdestotrotz solltest du dein Augenmerk nicht alleine auf diese eine Datei legen.

Manchmal hilft selbst der best Administrierte Server nichts wenn dann im CMS Code Sicherheitslücken vorhanden sind

So long,
schöne Ostern euch allen
Mit Zitat antworten
  #4 (permalink)  
Alt 20.04.2011, 16:49
Benutzerbild von fox
fox fox ist offline
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 11.09.2006
Beiträge: 1.010
fox sorgt für eine eindrucksvolle Atmosphärefox sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von Oni Beitrag anzeigen
Manchmal hilft selbst der best Administrierte Server nichts wenn dann im CMS Code Sicherheitslücken vorhanden sind
Und das sicherste Skript nützt nichts, wenn dein Passwort zu leicht ist.
Mit Zitat antworten
  #5 (permalink)  
Alt 20.04.2011, 21:00
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 11.12.2005
Beiträge: 1.494
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard

Zuerst mal Danke euch beiden, bin jetzt etwas beruhigter

Etwas Background zu meiner Frage von oben. Die Frage tauchte auf, als ich mein CMS in einen blanken Installationszustand gebracht hatte und auf meine eigene Fehlerprüfung gelaufen bin. Also keine Benutzer.php, dann eine Ausgabe mit Fehler "Benutzerdatenbank ist nicht mehr vorhanden" und kompletter Abbruch aller weiteren Aktionen. Rennt ganz gut, fast zu gut, hehe...

Zitat:
Zitat von Oni Beitrag anzeigen
... Nichtsdestotrotz solltest du dein Augenmerk nicht alleine auf diese eine Datei legen.
Im CMS hat nur ein Admin Zugriff auf die Benutzerverwaltung und der Admin kann sich selber nicht löschen solange er Admin ist. Ein prinzipielles Löschen ist zur Zeit nur per FTP Zugriff möglich. Hat jemand die FTP-Zugangsdaten, kann er natürlich auch die Benutzer.php löschen.

Abgesehen davon, ein Löschen ist nur für Einträge im Papierkorb, beziehungsweise in den Upload-Verzeichnissen möglich. Beim Aufruf der unterschiedlichen Admin-Module wird explizit geprüft, welche Rolle der angemeldete Benutzer hat und entsprechend reagiert. URL Manipulationen sind, soweit es mein bisheriges Sicherheit Wissen zulässt, unterbunden und wird mit entsprechenden Infos, Warnungen oder Errors quitiert.

Ob das alles absolut sicher ist, keine Ahnung
__________________
Personal stuff

Geändert von laborix (20.04.2011 um 21:11 Uhr)
Mit Zitat antworten
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Dateien aus Ordner auflisten und selektiv löschen? sepp88 Serveradministration und serverseitige Scripte 9 06.06.2010 19:52
Dateien auslagern - Include und PHP ArcVieh Serveradministration und serverseitige Scripte 17 27.03.2008 18:09
Dateien im Hauptverzeichnis oder in Ordner auf Webspace ablegen? DieterWelzel Offtopic 1 03.11.2006 21:02
Dateien lassen sich nicht löschen Anonymous Serveradministration und serverseitige Scripte 14 11.05.2005 16:16
Variabler Text Button... der_junge CSS 2 11.11.2004 17:15


Alle Zeitangaben in WEZ +2. Es ist jetzt 05:55 Uhr.