Und wieder mal ein Sicherheitsupdate für phpMyAdmin. Auf der einen Seite beruhigend, das etwas passiert - auf der anderen Seite kommt man mit dem updaten nicht mehr hinterher ;) Auch diesmal gings um XSS Angriffe in Verbindung mit von PHP generierten Variablen:
http://domain/phpMyAdmin/server_status.php/”><script>alert(’xss’)</script>
Fantastisch, oder? Böse Welt.
Ein Sicherheitsrelease für phpMyAdmin steht an. Die neue Version 2.11.1.1 behebt eine XSS Sicheitslücke bei der Datei setup.php. Sie konnte nur mit einem Internet Explorer unter der deaktivierten Option “UTF8-Urls senden” nachvollzogen werden.
Betroffen sind alle Versionen vor 2.11.1.1 - ein Update ist empfohlen. Ein Angriff auf diese Sicherheitslücke könnte darauf zielen, beliebig ausführbaren Code im Browser eines ahnungslosen Benutzers auszuführen.
Was für die Mittagspause -Â Gerade bei Exploring gefunden:
“SQL Injection in der Schule“oder (”Exploids of a mom”) by xkcd
Ob das gut sein kann? Zugegeben: Es ist ein leichtes, eine Formularvalidierung mit Javascript zu implementieren (Im Juli hatte ich die kleine Bibliothek JSval vorgestellt). Beim Ajaxian hab ich grad von dem neuen Projekt JSValidate gelesen, das vom Prinzip her genauso funktionier wie das vorgestellte JSval:
Im Gegensatz zu JSval baut es allerdings auf Prototype und Scriptaculous auf, hat eine eigene Website und ermöglicht eine reizvolle Web 2.0 Validierung.Aber ist eine Javascript Validierung wirklich sicher? Leider nein, das haben nämlich zahlreiche Wild-Live Projekte bewiesen. Wie kann mans besser machen, und wo liegt der Hase begraben?
Was meine ich mit Wild-Live Projekten? Ganz klar: Das ist dann, wenn wahrhaftige Dummy User auf eine Website treffen und gnadenlos damit überfordert sind, ein Formular auszufüllen. Das passier leider nur all zu häufig.
Den kompletten Artikel lesen »
“Worf: Waffensysteme laden. Bereit? Feuer!”
Man sollte es wie Kapitän Picard machen: Bevor man wild auf alles feuert, was eine Applikation an Benutzereingaben geliefert bekommt, erstmal gründlich sondieren. Eine gehärtete Applikation ist wichtig - die meisten Entwickler nehmen dieses Thema leider immer noch auf die leichte Schulter. Warum? Meist ist es ein Mangel an Zeit und oft will kein Auftraggeber eine sichere Applikation bezahlen.
Spätestens bei Serverkaperung, Datendiebstahl oder Fakeinhalten in der Datenbank schreien alle um Hilfe. 3 Jungs aus Deutschland haben sich dem Thema auf einer englischsprachigen Website angenommen ;) Natürlich ist das Projekt international - es gibt ja nicht nur deutsche Problemfälle, was sichere Applikationen angeht. Köln scheint die sichereste Stadt zu sein: zumindest, was Web-Applikationen angeht…
Jetzt wissen wir schon mal, wer hinter PHP-IDS steckt - aber um was geht es bei der Feindabwehr eigentlich?
Den kompletten Artikel lesen »
Im Downloadbereich habe ich bereits eine Bibliothek zum Validieren von Formularen verlinkt. Es handelt sich um jsVal, eine kleine Datei mit großer Wirkung :) Leider hat sich immer wieder herausgestellt, das es mit Javascript unmöglich ist, eine Validierung zu garantieren. Irgendwelche Trottel haben Javascript immer ausgeschaltet oder es buggt. Naja.
Wohl oder über muss man die Validierung von Formularen dann mit PHP machen. Und das ist keine angenehme Sache: Eine Seite mit Formular, eine PHP Seite mit Formularhandler und Validierung, eine andere für die obligatorische Dankeschön-Seite. Irgendwelche undurchschaubaren If- und Regex-Ausdrücke und vieles mehr tummeln sich dort.
Abgesehen von der nahezu grenzenlosen Unübersichtlichkeit (Gerade bei großen Formularen) ist der größte Feind die Implementierung: Hat man auf einer Website mehrere Formulare (und das ist ja in der Regel so), muss man die Validierung für jedes Formular extra bauen. Na toll, Copy&Paste lässt grüßen.
Zeit für eine Bibliothek, die die Welt verändert! Zeit für eine total einfach einsetzbare Bibliothek. Grenzenlos erweiterbar und trotzdem individuell: Der Traum eines jeden Programmierers ;-) Wer weiterliest, bekommt als Dankeschön einen Downloadlink nebst Anleitung…
Den kompletten Artikel lesen »
Das Fotolia ein Problem mit der Performance hat, ist einschlägig bekannt ;-) Fotolia ist ein PHP Projekt und demonstriert geradezu auf tragische Art und Weise, wie man es nicht machen sollte. Es kämpft mit riesigen Datenmengen und extrem guten Zugriffszahlen - ich habe den Eindruck die Jungs (oder der Server)Â von Fotolia sind schlichtweg überlastet.
Bei meiner aktuellen Bild-Recherche auf Fotolia ist mir aufgefallen, das Fehlermeldungen bei Fotolia direkt auf der Webseite ausgegeben werden - ist das wirklich gut? Definitiv Nein - Fehlermeldungen haben auf einer Liveseite nichts zu suchen.
Es kann ganz schön gefährlich sein, denn durch SQL-Statements die direkt auf der Webseite ausgegeben werden, kann man ganz schnell verraten, mit welchen Frameworks oder Bibliotheken man arbeitet, wie die Datenbankstruktur aussieht - uvm…
Nachfolgend ein paar Tipps, wie man es besser machen kann.
Den kompletten Artikel lesen »
Eine beliebte Standardfunktion bei Internetportalen ist “Passwort vergessen”. Wie heißt dein ersten Hund? Welche Haarfarbe hat Deine Mutter? Warum hast Du keine Unterhose an? Und ähnlich schlechte Fragen müssen beantwortet werden, um das Passwort per Mail zugesandt zu bekommen.
Ups. Und schon sind wir über zwei Fallen gestolpert, die echt gefährlich sind:
Es muss ja nicht immer der böse Hacker aus Süd-Ost-Asien sein, der sich in Guerilla-Manier auf fremde Accounts stürzt. Wie wärs denn mit einem guten Freund, der immer zu Scherzen aufgelegt ist? Der Ex-Freund, der einen freundlich gemeinten Gruss hinterlassen möchte? Oder vielleicht ein liebenswürdiger Kollege, der in seiner Freizeit gerne Email-Accounts entführt?
Den kompletten Artikel lesen »
…lassen sich am besten die Mauern stärken. Wer seine Applikation gegen XSS und Co. härten möchte, muss zunächst erst mal mögliche Angriffspunkte ausmachen und ausführlich testen.
Eine große Rätselaktion zu starten, ist an dieser Stelle mit Sicherheit nicht angebracht. Wenn man erfolgreich sein und konkrete XSS Tests durchführen möchte ist man mit dem XSS Cheat Cheat am besten bedient. Der Reihe nach werden divierse XSS Attacken fürs Copy/Paste in Textfeldern angeboten.
Den kompletten Artikel lesen »
Ich versichere Euch, ich hatte vor, ein Backup zu machen. Nur jetzt grad nicht, erst was anderes erledigen und dann, wenn man eine ruhige Minute hat, richte ich einen Backupjob ein. Kommt Dir das bekannt vor? Hast Du für alles einen ordentlichen Backupjob eingerichtet?
Hätt ichs nur gemacht - sagt der Gestrafte - und PHP Blogger guckt nach unten. Zum Glück hat Google mein Leben gerettet. Sonst wär die ganze Arbeit zu nichte gemacht. Die Artikel habe ich wieder. Die Plugins und Verzeichnisinhalte sind auch wieder da. Nur die Kommentare fehlen.
Liebe Leser und Kommentatoren vom PHP Blogger - seht mir nach, dass die Kommentare futsch sind und füllt diesen PHP Blog erneut mit Leben! Es ist angerichtet, langt zu!
 Nehmt das Leiden des PHP Bloggers als Anlass, Eure eigene Backup-Moral zu überprüfen. Wie wärs mit einem schicken Backup-Wordpress-Plugin?
ist auf jeden Fall 
Ein PHP Blog mit aktuellen PHP Informationen und Tricks für Entwickler.
