hilfdirselbst.ch
Facebook Twitter gamper-media
Tipps und Tricks zu Adobe GoLive von Dirk Levy, GoLive FAQ's von Randolph Sterna
Exile
Beiträge: 33
24. Feb 2003, 11:01
Beitrag #1 von 8
Bewertung:
(893 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


hallo alle zusammen ...

wenn ich das richtig sehe befindet sich nach der dynamisierung der website mit gl auf dem webserver (also im internet) im root der der order 'config'. dieser ordner enthält u.a. im unterordner 'datasources' eine datei die im 'klartext' die zugangsdaten zu meiner mysql-datenbank enthält. wenn nun jemand, einiges grundwissen vorausgesetzt, mit einem 'datensammler' auf meiner website 'rumschüffelt' dann findet er sicherlich auch diese xxx.mysql.sbs datei und kann dann, mit dem wissen meiner zugangsdaten allerhand mit meiner datenbank anfangen, oder?

wenn ja, wie kann ich mich (und meine daten) davor schützen?

exile Top
 
X
Petra Rudolph p
Beiträge: 1554
24. Feb 2003, 12:25
Beitrag #2 von 8
Beitrag ID: #25774
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


Deine Bedenken setzen vorraus, dass jemand deine Zugangsdaten des Servers knackt.
Wie dann die Struktur darunter ausschaut ist wurscht. Er geht dann mit einem FTP-Programm auf deinen Server und fängt an zu saugen.

Wenn jemand nur auf dem Server rumstochert, dann bekommt er die interpretierten Seiten zu sehen. Solange kein echo vor deiner MYSQL-Datei steht sollte er also nix zu lesen bekommen.

Gruß Petra

http://www.quicktoweb.de
als Antwort auf: [#25766]
(Dieser Beitrag wurde von Petra Rudolph am 24. Feb 2003, 12:25 geändert)
Top
 
Exile
Beiträge: 33
25. Feb 2003, 12:15
Beitrag #3 von 8
Beitrag ID: #25907
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


hallo petra,

meine bedenken setzen eigentlich nur kenntnisse des datenbanknames und der allgemeinen GL-verzeichniss-struktur bzw. den einsatz solcher progs wie 'teleport pro', die in der lage sind komplette websites zu 'duplizieren', voraus.

mit kenntniss des datenbank-namens und der gl-verzeichniss-struktur kann man im browser durch aufruf von: 'http://domain/...nbankname.mysql.sbs' nämlich den inhalt dieser reinen ascii-datei abrufen.
und durch einsatz von z.b. 'teleport pro' sich die komplette website auf den rechner saugen. dann hat man auch die *.mysql.sbs datei auf dem rechner und kann die info's auslesen.

den leuten von adobe ist dieses problem auch bewusst und sie schlagen im handbuch von gl auch vor den config ordner ggf zu verschieben (halte ich jedoch für sinnlos) oder über schutzmassnahmen (vermutlich über .htaccess) zu schützen.

doch hier sitz der hase im pfeffer und schnalzt; denn dieser schutz (so wie im handbuch beschrieben) ist für mich nicht verständlich genug (bin zwar nicht direkt ein blutiger anfänger, aber ...)

gruss, exile
als Antwort auf: [#25766] Top
 
SabineP  M 
Beiträge: 7586
25. Feb 2003, 12:24
Beitrag #4 von 8
Beitrag ID: #25912
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


Hallo Exil, gib doch der Datei
datenbankname.mysql.sbs
mit chmod andere Rechte.

zum Beispiel chmod 440 (Besitzer und Gruppe darf lesen)

Dann kann man die Datei per Browser nicht lesen.
Der Webserver darf sie aber noch lesen.

Hier noch ein Link zur chmod-Hilfe :
http://selfhtml.teamone.de/helferlein/chmod.htm

Gruß Sabine
als Antwort auf: [#25766]
(Dieser Beitrag wurde von SabineP am 25. Feb 2003, 12:25 geändert)
Top
 
Petra Rudolph p
Beiträge: 1554
25. Feb 2003, 12:26
Beitrag #5 von 8
Beitrag ID: #25913
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


Verzeichnisse schützen vor unbefugtem Zugriff geht, wie du ja schon bemerkt hast mit .htaccess. Entweder du ließt dich ein http://selfhtml.teamone.de/...tm#verzeichnisschutz
oder du benutzt eines der zahlreichen Tools:
http://www.bananajoe.de
http://www.bananajoe.de/cgi-bin/pass.cgi

Gruß Petra

http://www.quicktoweb.de
als Antwort auf: [#25766] Top
 
Petra Rudolph p
Beiträge: 1554
3. Mär 2003, 15:55
Beitrag #6 von 8
Beitrag ID: #26773
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


Das mit den CHMOD 440 funktioniert bei mir übrigens nicht, die DB-Abfragen werden nicht angezeigt...

Gruß Petra

http://www.webministration.de
http://www.quicktoweb.de
als Antwort auf: [#25766] Top
 
SabineP  M 
Beiträge: 7586
4. Mär 2003, 00:35
Beitrag #7 von 8
Beitrag ID: #26804
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


Ich hab das jetzt mal auf zwei verschiedenen Webservern getestet, bei Puretec geht es,
auf dem anderen Webserver geht es nicht.
Das liegt wohl an der Webserverkonfiguration.

Wenn Du das Verzeichnis mit der .htaccess schützen kannst, dann ist das ja auch in Ordnung.

Gruß Sabine
als Antwort auf: [#25766] Top
 
Miro Dietiker
Beiträge: 699
4. Mär 2003, 20:54
Beitrag #8 von 8
Beitrag ID: #26910
Bewertung:
(890 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Sicherheit von dynamischen GL6-Sites auf dem WebServer


Die grundlegende Frage ist hier, ob die ".sbs" Dateien vom PHP-Modul
auf dem Server einfach sämtliche Files Parse't oder wie auch üblich
ausschliesslich Dateien "php", "php3", "phtml"

Der Schutz mit chmod wird das Problem nicht lösen, da PHP mit den
Rechten des Webservers auf die Datei zugreift. Verbieten der
Betrachtung für den Webuser verbietet auch das Öffnen mittels PHP.
Der Inhalt ist also danach nichts mehr "wert".

Wird der Schutz jedoch auf .htaccess-Ebene konfiguriert, so gilt dies
(normalerweise) nicht für das PHP-Modul sondern nur für die
"Webbrowser-Schnittstelle" und das ist das richtige Ort für einen
Schutz.

Ich empfehle nach Abschluss der Entwicklungen einfach den gesamten
"config"-Ordner und Unterordner zu verbieten. Wird jedoch mit GL
weiter entwickelt, muss diese ".htaccess" vorübergehend entfernt
werden, da GL die Datenquellen bei der Entwicklung nicht mehr
aufführt..

GrEeZ: Miro Dietiker
als Antwort auf: [#25766] Top
 
X