php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > BRAINSTORMING PHP/SQL/HTML/JS/CSS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


BRAINSTORMING PHP/SQL/HTML/JS/CSS Ihr habt eine Idee, aber keinen genauen Ansatz? Diskutiert mit anderen Usern des Forums über eure Gedankengänge um evtl. hilfreiche Ideen zu bekommen!
Normale Fragen bitte weiterhin in die entsprechenden Foren!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-08-2008, 08:15
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard Logging

Hallo Forum

Ich habe noch sehr wenig Erfahrung, was man wie angemessen logt und wie oft dies zum Einsatz kommen soll.
Dazu habe ich mir einige Texte und Empfehlungen angeschaut, darum weiss ich jetzt (hoffentlich) in etwa, was ich so für Möglichkeiten habe.

Trotzdem möchte ich eine Empfehlung von euch

Beschreibung meiner Seite:
-Userlogin
-Viele AJAX-Requests des Users
-Logoutbutton, User wird aber nach einer Weile ohne "Antwort" automatisch ausgeloggt
-Wer noch mehr wissen will - Fragen sind willkommen.

Ich denke mal, die IP und die UserID nehme ich sicher hinzu.
Doch soll ich noch die GET- und Post-Parameter jedes Aufrufes loggen?
Und würde mir der http_remote_port etwas bringen, um z.B. Clients hinter Routern zu identifizieren? (Ich weiss, der wechselt im Normalfall alle 600 Sekunden...)
Oder würdet ihrs einfach bei User&IP belassen?

Danke im Voraus für eure Ratschläge!
Herzlichen Gruss
Onyx
Mit Zitat antworten
  #2 (permalink)  
Alt 06-08-2008, 09:25
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Warum willst du das alles wissen/loggen? So übertriebene logging-Wut ist der totale Mist. Stichwort: Personenbezogene Daten
Mit Zitat antworten
  #3 (permalink)  
Alt 06-08-2008, 10:09
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Ist ja nicht so, als würde ein Apache die meisten erwähnten Sachen schon per Default loggen ...
Mit Zitat antworten
  #4 (permalink)  
Alt 06-08-2008, 10:14
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
Nunja oO Das ist ja genau das, was ich hier frage:
Soll ich nur personenbezogenes (UserID, IP) oder noch mehr loggen?

Es scheint du rätst mir zu oberer Lösung. Aber wenn ich z.B. keine Parameter logge, wie will ich denn herausfinden, von welchem UserAccount aus z.B. ein Angriff kommt? So hätte ich doch wenigstens eine kleine Chance, den "Angreifer" zu entdecken*, wobei mir deine Lösung in dem Fall nichts bringen würde. Wie würdest du reagieren - Backup drauf und Geschichte vergessen?
Das ist ja auch der Grund, warum ich IP & Clientport mitloggen möchte (vorausgesetzt, der Clientport wird irgendwie beim User mitgeloggt).

Ich hoffe ihr versteht mein Anliegen Aber wenn mir noch jemand schreibt, das wär absoluter Humbug, dann lass ichs sein und glaube euch


Danke im Voraus für eure Antworten & danke an lennart für deine

MfG
Onyx



*Ich weiss, dass z.B. schon allein ein Webproxy dieses Logging sinnlos macht - darum das "eine kleine Chance"
Mit Zitat antworten
  #5 (permalink)  
Alt 06-08-2008, 10:18
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Oh, du warst schneller, unset ^^
Mom das schaue ich schnell nach... (rest kommt per edit)

EDIT:
Wenn ich dazu die UserID noch dazulogge, ist das herrlich ^^
(also danke @ unset)
Aber meine Frage vom http_remote_port bleibt trotzdem.. Weiss da jemand etwas genaueres?

Gruss
Onyx

Geändert von Onyxagargaryll (06-08-2008 um 10:25 Uhr)
Mit Zitat antworten
  #6 (permalink)  
Alt 06-08-2008, 11:04
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

der remote port bringt dir nischt ... das wird vom client (browser) einfach gewählt und benutzt.

an deiner stelle würde ich ip und user-agent loggen.
eine user-id ist schwachsinn .. man kann deinen server auch angreifen ohne sich bei dir jemans angemeldet zu haben.

und wer angreifen will .. der kommt über proxies daher und geht über telnet an deinen apachen .. und füttert ihn mit den richtigen befehlen damit der entweder schlappmacht oder sich schön weit öffnet

der apache kann weitaus mehr als nur webseiten ausliefern .. er kennt noch solche befehle wie GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK und UNLOCK und wenn der apache schlecht konfiguriert ist .. dann sind zuviele befehle verfügbar

also erstmal server signatur aus .. oder nimm die von IIS .. dann denkt der hacker er hat nen wndows vor der nase und freut sich

und nimm awstats oder webalizer um die apache logs auszuwerten ;(
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #7 (permalink)  
Alt 06-08-2008, 11:13
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
an deiner stelle würde ich ip und user-agent loggen.
User-Agent bringt dir wahrscheinlich noch weniger als der Remote Port. Entweder senden die Browser keinen User-Agent, er kann auch gefälscht sein oder ein Proxy filtert die Kennung heraus. Den Remote Port kann man nicht so einfach fälschen.
Ich logge normalerweise nur IP und Zeit ggf noch eine Prüfung ob die IP einem bekannten Proxy Server gehört. Mit IP und Zeitpunkt könntest du es zumindest in Erwägung ziehen im Streitfall eine Anzeige zu machen.
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #8 (permalink)  
Alt 06-08-2008, 11:21
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

remote-port sollte man auch nicht entfernen .. sonst kommt ja nichts zurück
user-agent kann man löschen/fälschen .. aber kann aufschlussreich sein wenn der user-agent gleich bleibt (oder nicht vorhanden ist) und die ip sich ständig ändert.

wenn wir es ein wenig übertreiben sollen .. spielen wir noch snort (intrusion detection system) auf den server
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #9 (permalink)  
Alt 06-08-2008, 11:26
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
wenn wir es ein wenig übertreiben sollen .. spielen wir noch snort (intrusion detection system) auf den server
Au ja, lass uns das machen
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #10 (permalink)  
Alt 06-08-2008, 11:30
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard

UserAgent wird ja auch per default vom apache geloggt.
und userid finde ich gar nicht schlecht, weil ohne eine vorhandene UserID auf der Webseite selber gar nichts geht. Wenn der "Angreifer" dumm genug ist, während seinen Heldentaten eingeloggt zu sein, wärs doch ein schöner Vorteil ^^
Dass es gegen die Angriffe selber nichts nützt ist mir klar - aber ich danke für die Tipps wegen den Apacheeinstellungen, ich werde die mal unter die Lupe nehmen.

remote_port hast ja soeben gesagt, der würde einfach benutzt, also bringt mir loggen nichts da es beim client selber auch nicht geloggt wird.
Ich kann ja noch ein Cookie setzen ^^ Das wär doch ein netter Beweis :P *hihi*

snort probier ich mal aus

Gruss und Danke an alle
Onyx

Geändert von Onyxagargaryll (06-08-2008 um 11:50 Uhr)
Mit Zitat antworten
  #11 (permalink)  
Alt 06-08-2008, 11:35
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von UzumakiNaruto
aber kann aufschlussreich sein wenn der user-agent gleich bleibt (oder nicht vorhanden ist) und die ip sich ständig änder
Krass, auf meiner Seite ruft einer die ganze Zeit alle möglichen Seiten ab. Die IP ändert sich ständig, aber ich erkenn den an seinem XP und seinem Firefox!

scnr
Mit Zitat antworten
  #12 (permalink)  
Alt 06-08-2008, 11:42
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

snort war ein witz .. das ist overkill.

ein IDS überprüft alles was ins system kommt und informiert dich dann "he hier is jemand und macht komisches" wenn snort das erkennt kann er sogar selber gegenmaßnahmen ergreifen (ip sperren, honey pot liefern, etc).

erklären wir das mal mit den remote_ports genauer

Code:
- hansi öffnet den browser und gibt http://www.php-resource.de ein
- der browser fragt das OS (operating system) nach einen verfügbaren port
- OS gibt dem browser die 12467
- browser sendet seine anfrage an en server von php-resource
(IP_VON_PHP_RESOURCE:80 ... schicke mir, REMOTE_IP:REMOTE_PORT (z.b. 81.100.100.100:12467), mal deine webseite)
- server sendet die webseite an 81.100.100.100:12467)
- browser gibt den port dem OS wieder damit sie wieder verfügbar ist.
wenn ein router dazwischen ist speichert er diese ports natürlich um die daten entsprechend weiterzuleiten .. wenn er PAT (port adress translation) kann, ändert er sogar den port, sollten 2 pcs im netzwerk mit der gleiche+port ankommen (kommt selten vor)

klarer???
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #13 (permalink)  
Alt 06-08-2008, 11:43
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von unset
Krass, auf meiner Seite ruft einer die ganze Zeit alle möglichen Seiten ab. Die IP ändert sich ständig, aber ich erkenn den an seinem XP und seinem Firefox!

scnr
ist ja gut ... war ne blöde idee .. nur die paranoiden machen das
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #14 (permalink)  
Alt 06-08-2008, 11:48
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ah ich verstehe, danke für deine Erklärung UzumakiNaruto.

Durch meine Unkenntnis von snort ist mir dieser Witz leider entgangen
Zitat:
Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist freie Software und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS.
Dann hab ich aufgehört zu lesen. "Probieren wir mal aus - schaden kanns ja nix"


So ich danke allen für die Hilfe und den Spam und grüss herzlich
Onyx
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:00 Uhr.