zurück zur Startseite
  


Zurück XHTMLforum > Webentwicklung (außer XHTML und CSS) > Serveradministration und serverseitige Scripte
Seite neu laden Website Security

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 02.01.2015, 13:46
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 11.12.2005
Beiträge: 1.495
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard Website Security

Hallo miteinander,

mal eine Frage zur Sicherheit von Websites auf einem x-beliebigen Webserver. Man lädt ein/e CMS/Blog/HTML Website per FTP auf einen Webserver. Dafür hat man bestimmte Schreibrechte. Die Website geht jetzt in Betrieb und läuft.

Wenn nun ein x-beliebiger Besucher gewisse Experimente macht, hat er normalerweise keinen Schreibzugriff auf x-beliebige Verzeichnisse dieser Website, außer man ist am CMS/Blog oder sonst was angemeldet.

Wie kann man sicherstellen/verhindern das nirgendwo auf dieser Website so ein Schreibzugriff von extern stattfinden kann?

LG
__________________
Personal stuff
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 02.01.2015, 14:21
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.944
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Die Rechte richten sich nach dem User bzw. der Gruppe des Users in dessen Kontext du arbeitest. Also bei einem Skript kommt es darauf an, welche Rechte z.b. ein PHP Skript hat und mit dem FTP Programm, mit welchen Rechten der FTP Server die eingeloggten User austattet. Welche Recht nun ein "x-beliebiger" User hat, hängt also von dem Kontext ab in dem er arbeitet.

Externe Zugriffe werden durch die Software, die diese Zugriffe erlaubt gesteuert, d.h. du musst definieren, welche externen Zugriffen du steuern willst.
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 02.01.2015, 19:13
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 11.12.2005
Beiträge: 1.495
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard

Zitat:
Zitat von protonenbeschleuniger Beitrag anzeigen
... Welche Recht nun ein "x-beliebiger" User hat, hängt also von dem Kontext ab in dem er arbeitet.
Das weiß ich nicht auf einem Webserver beim Provider x. Ich glaube nicht das ich das wissen muss, wenn ich eine Website sicher machen will. Oder doch?

Zitat:
Zitat von protonenbeschleuniger Beitrag anzeigen
... d.h. du musst definieren, welche externen Zugriffen du steuern willst.
Gesetzt den Fall eine Website liegt beim Provider x. Alle Aufrufe von extern bringen die gewünschten Ergebnisse, alle GET/POST Parameter werden (abhängig vom eingesetzten CMS/Blog/HTML) komplett geprüft bevor etwas geladen/ausgeführt wird.
Wie kann ich sicherstellen das ein x-beliebiger Besucher keine Möglichkeit hat irgendwo eine Datei auf dem genutzten Webspace für die Website beim Provider x abzulegen?
__________________
Personal stuff
Mit Zitat antworten
  #4 (permalink)  
Alt 02.01.2015, 19:25
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.944
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Zitat:
Zitat von laborix Beitrag anzeigen
Gesetzt den Fall eine Website liegt beim Provider x. Alle Aufrufe von extern bringen die gewünschten Ergebnisse, alle GET/POST Parameter werden (abhängig vom eingesetzten CMS/Blog/HTML) komplett geprüft bevor etwas geladen/ausgeführt wird.
Wie kann ich sicherstellen das ein x-beliebiger Besucher keine Möglichkeit hat irgendwo eine Datei auf dem genutzten Webspace für die Website beim Provider x abzulegen?
Dir ist das Konzept nicht klar.

Du sprichst hier von Aufrufen des Webserver - also zugriffe über http(s). Dort laufen die meisten Prozesse unter einem speziellen Benutzer bzw. Benutzergruppe, den du dir z.b. mit phpinfo() anzeigen lassen kannst.

Dieser Nutzer darf das, was du als Zugriffrechte eingestellt hast. Wenn jemand ein solches Skript aufruft, dann hat das Skript exakt diese Rechte und wenn du erlaubst, dass das Skript Dateien auf deinen Webspace ablegen darf, dann kann das jeder von aussen machen, der das Skript benutzt. Wenn du das nicht willst, dann musst du das so programmieren, das es nicht mehr möglich ist.

Aber was es nicht gibt, sind "x-beliebige Besucher" - es gibt nur Dienste die dein Server oder du anbietest und diese können genutzt oder ausgenutzt werden. Und je nach Verantwortung bist entweder du oder dein Hoster dafür Verantwortlich.
Mit Zitat antworten
  #5 (permalink)  
Alt 02.01.2015, 19:38
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.944
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Weil das mit den x-beliebigen Besucher wiedersprüchlich klingt.

Im ersten Post von mir ging es um die Benutzer von Diensten, wie z.b. SSH, FTP oder auch den Prozessen des Servers. Das sind defnierte User, daher das "x-beliebige" in Anführungszeichen. Denn diese User sind die die der Hoster definiert hat. Es könnten z.b. auch auch User, die ebenfalls Kunde bei deinem Hoster sind, auf deinen Bereich zugreifen, wenn es Sicherheitslücken gibt. Was i.d.R. nicht erwünscht ist.

Im zweiten Post, dreht es sich nur noch um die Benutzer über HTTP, da sind im Prinzip alle x-beliebige User, aus der Sicht des Servers laufen diese Skripts unter dem Nutzer des Servers (wobei es da aber auch noch mal eine Feinregulierung gibt, da auch die Skripte nicht auf die Verzeichnisse der anderen User eines Shared Hosting Server zugreifen dürfen - aber das sind keine Sachen in denem Verantwortungsbereich)
Mit Zitat antworten
  #6 (permalink)  
Alt 02.01.2015, 21:03
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 11.12.2005
Beiträge: 1.495
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard

Zitat:
Zitat von protonenbeschleuniger Beitrag anzeigen
Dir ist das Konzept nicht klar. ...
In einem Linux System oder Windows System kann ich Lesen/Schreiben Rechte für User/Group vergeben. Ist nicht meine Fragestellung da Server Provider x.
Eine Website liegt beim Provider x und es geht um das Absichern dieser Website, nicht dem Provider Server x.

Zitat:
Zitat von protonenbeschleuniger Beitrag anzeigen
... aber das sind keine Sachen in denem Verantwortungsbereich)
Meinem oder Denen?

Ich bitte um Entschuldigung wenn ich hier nicht eindeutig schreibe, aber es geht nicht um die in zig-1000 Internet Artikeln beschrieben Punkte wie SQL-Injektion, GET/POST Prüfungen oder Cross Site Scripting. Es geht einfach darum wie ich als einfacher Benutzer (Nein, es ist nicht mein eigener Server) sicherstellen kann das keine x-beliebige HTTP-Anfrage eine Datei auf dem Webspace schreiben kann.
__________________
Personal stuff
Mit Zitat antworten
  #7 (permalink)  
Alt 02.01.2015, 21:15
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.944
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Zitat:
Zitat von laborix Beitrag anzeigen
In einem Linux System oder Windows System kann ich Lesen/Schreiben Rechte für User/Group vergeben. Ist nicht meine Fragestellung da Server Provider x.
Dann spielen die Schreibrechte auch keine bzw. nur eine untergeordnete Rolle

Zitat:
Zitat von laborix Beitrag anzeigen
Meinem oder Denen?
Deinem.

Zitat:
Zitat von laborix Beitrag anzeigen
Ich bitte um Entschuldigung wenn ich hier nicht eindeutig schreibe, aber es geht nicht um die in zig-1000 Internet Artikeln beschrieben Punkte wie SQL-Injektion, GET/POST Prüfungen oder Cross Site Scripting. Es geht einfach darum wie ich als einfacher Benutzer (Nein, es ist nicht mein eigener Server) sicherstellen kann das keine x-beliebige HTTP-Anfrage eine Datei auf dem Webspace schreiben kann.
Grundsätzlich ist das über HTTP gar nicht möglich. (Zumindest nicht bei einem normal konfigurierten Apache Server)
Mit Zitat antworten
  #8 (permalink)  
Alt 02.01.2015, 22:04
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 11.12.2005
Beiträge: 1.495
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard

Zitat:
Zitat von protonenbeschleuniger Beitrag anzeigen
... Grundsätzlich ist das über HTTP gar nicht möglich. ...
Grundsätzlich? Gibt es hierzu eine sehr lesenswerte Dokumentation (Englisch egal)?
__________________
Personal stuff
Mit Zitat antworten
  #9 (permalink)  
Alt 02.01.2015, 22:21
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.944
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Zitat:
Zitat von laborix Beitrag anzeigen
Grundsätzlich? Gibt es hierzu eine sehr lesenswerte Dokumentation (Englisch egal)?
https://de.wikipedia.org/wiki/Hypert...nsfer_Protocol
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Website Templates Business For Sale WebEntwickler Jobs 0 17.09.2013 15:43
Teile der Website verschieben sich bei Auflösung Panamajack (X)HTML 7 19.06.2010 14:53
analysetool für websites opa-rudi Site- und Layoutcheck 23 05.08.2008 14:33
Bitte um Feedback zu meiner überarbeiteten Website Sen-nefer Site- und Layoutcheck 9 08.02.2008 15:49


Alle Zeitangaben in WEZ +2. Es ist jetzt 04:37 Uhr.