Archiv für Sicherheit
5. Dezember 2007 um 10:42 · Gehört zu PHP (Allgemein), Performance, Sicherheit
Via PHP Adventskalender von Chris Shiflett, Tag 4. Heute hat Chris mal wieder ein sehr interessantes Türchen in seinem Adventskalender aufgemacht: Herausgehüpft ist der Neuseeländer James McGlinn.
Er erinnert uns daran, SSL nur dann zu verwenden, wenn es um die Übetragung von privaten Daten geht - z.B. im Onlineshop oder beim Login. Für “normale” Webseiten benötigt man kein SSL.
Wer eine Seite mit SSL Zertifikat betreibt, weiß, dass diese ganze SSL Maschine ziemlich viel Serverleistung frisst. Warum also Performance verschwenden, wenn man nicht muss? Im Juni gabs einen Artikel vom PHP Blogger zum Thema “SSL erwzingen“, aber James geht noch weiter:
Den kompletten Artikel lesen »
21. November 2007 um 16:40 · Gehört zu Sicherheit, Update-Notizen
Vorgestern habe ich zwar noch groß ein Update von PHP IDS angepriesen, heute sieht die Welt schon anders aus: PHP IDS Version 0.4.3 ist mittlerweile online. Schön, wenn sich bei Projekten was tut… Man merkt richtig, das die Entwickler zielstrebig auf Version 0.5 hinarbeiten!
In der Zwischenzeit wurde auch phpMyAdmin auf Version 2.11.2.2 angehoben - Grund war ein XSS Angriffspunkt auf der Loginseite. Ein Update wird empfohlen.
19. November 2007 um 12:49 · Gehört zu Framework, Sicherheit, Update-Notizen
Eines der Projekte, auf die ich mein Auge geworfen habe, hat bereits Ende Oktober eine neue Version zum Download bereitgestellt: PHP Intrusion Detection.
Verbessert wurden seit dem letzten Artikel im August unter anderem
- die Erkennung von SQL Injection
- die False-Positive Einstufung
- die Skalierbarkeit
- der Caching-Mechanismus
Mittlerweile finden sich auch Ports für Wordpress. Die Links zu den Wordpress-Plugins finden sich im offiziellen Downloadbereich von PHP IDS.
12. November 2007 um 12:08 · Gehört zu PHP (Allgemein), Sicherheit
Heute scheint mir der Tag der Sicherheit zu sein - es gibt ein neues Sicherheitsrelease von phpMyAdmin. Damit wird das Projekt auf das Patchlevel 2.11.2.1 gehoben. Problem war die Möglichkeit via XSS ausführbaren Code in die Applikation einzuschleusen und auszuführen.
Von Frank gibt es einen interessanten Artikel über die Sicherheit bei Web-Anwendungen. Besprochen werden die größten Sicherheitsrisiken in und um Web-Applikationen. Absolut lesenwert.
23. Oktober 2007 um 15:48 · Gehört zu Sicherheit, Update-Notizen
Mal wieder ein Sicherheitsrelease für phpMyAdmin. Im beliebten Datenbankmanager wurde wieder eine XSS Schwachstelle gefixt. Es betraf die Datei server_status.php die über von PHP bereitgestellte Variablen in $_SERVER (PHP_SELF, PATH_INFO und REQUEST_URI) angegriffen werden konnten.
Mehr Infos hier: http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-6
Ein Update für ältere Versionen ist empfohlen.
18. Oktober 2007 um 14:56 · Gehört zu Sicherheit, Update-Notizen
Und wieder mal ein Sicherheitsupdate für phpMyAdmin. Auf der einen Seite beruhigend, das etwas passiert - auf der anderen Seite kommt man mit dem updaten nicht mehr hinterher ;) Auch diesmal gings um XSS Angriffe in Verbindung mit von PHP generierten Variablen:
http://domain/phpMyAdmin/server_status.php/”><script>alert(’xss’)</script>
Fantastisch, oder? Böse Welt.
16. Oktober 2007 um 15:03 · Gehört zu PHP (Allgemein), Sicherheit, Update-Notizen
Ein Sicherheitsrelease für phpMyAdmin steht an. Die neue Version 2.11.1.1 behebt eine XSS Sicheitslücke bei der Datei setup.php. Sie konnte nur mit einem Internet Explorer unter der deaktivierten Option “UTF8-Urls senden” nachvollzogen werden.
Betroffen sind alle Versionen vor 2.11.1.1 - ein Update ist empfohlen. Ein Angriff auf diese Sicherheitslücke könnte darauf zielen, beliebig ausführbaren Code im Browser eines ahnungslosen Benutzers auszuführen.
11. Oktober 2007 um 14:17 · Gehört zu Sicherheit
Was für die Mittagspause - Gerade bei Exploring gefunden:
“SQL Injection in der Schule“oder (”Exploids of a mom”) by xkcd
9. Oktober 2007 um 10:08 · Gehört zu Ajax, Javascript, Sicherheit
Ob das gut sein kann? Zugegeben: Es ist ein leichtes, eine Formularvalidierung mit Javascript zu implementieren (Im Juli hatte ich die kleine Bibliothek JSval vorgestellt). Beim Ajaxian hab ich grad von dem neuen Projekt JSValidate gelesen, das vom Prinzip her genauso funktionier wie das vorgestellte JSval:
Im Gegensatz zu JSval baut es allerdings auf Prototype und Scriptaculous auf, hat eine eigene Website und ermöglicht eine reizvolle Web 2.0 Validierung.Aber ist eine Javascript Validierung wirklich sicher? Leider nein, das haben nämlich zahlreiche Wild-Live Projekte bewiesen. Wie kann mans besser machen, und wo liegt der Hase begraben?
Was meine ich mit Wild-Live Projekten? Ganz klar: Das ist dann, wenn wahrhaftige Dummy User auf eine Website treffen und gnadenlos damit überfordert sind, ein Formular auszufüllen. Das passier leider nur all zu häufig.
Den kompletten Artikel lesen »
13. August 2007 um 12:42 · Gehört zu Best-Of, Framework, PHP 4, PHP 5, Sicherheit
“Worf: Waffensysteme laden. Bereit? Feuer!”
Man sollte es wie Kapitän Picard machen: Bevor man wild auf alles feuert, was eine Applikation an Benutzereingaben geliefert bekommt, erstmal gründlich sondieren. Eine gehärtete Applikation ist wichtig - die meisten Entwickler nehmen dieses Thema leider immer noch auf die leichte Schulter. Warum? Meist ist es ein Mangel an Zeit und oft will kein Auftraggeber eine sichere Applikation bezahlen.
Spätestens bei Serverkaperung, Datendiebstahl oder Fakeinhalten in der Datenbank schreien alle um Hilfe. 3 Jungs aus Deutschland haben sich dem Thema auf einer englischsprachigen Website angenommen ;) Natürlich ist das Projekt international - es gibt ja nicht nur deutsche Problemfälle, was sichere Applikationen angeht. Köln scheint die sichereste Stadt zu sein: zumindest, was Web-Applikationen angeht…
Jetzt wissen wir schon mal, wer hinter PHP-IDS steckt - aber um was geht es bei der Feindabwehr eigentlich?
Den kompletten Artikel lesen »
« Neuere Artikel ·
Ältere Artikel »
