php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > BRAINSTORMING PHP/SQL/HTML/JS/CSS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


BRAINSTORMING PHP/SQL/HTML/JS/CSS Ihr habt eine Idee, aber keinen genauen Ansatz? Diskutiert mit anderen Usern des Forums über eure Gedankengänge um evtl. hilfreiche Ideen zu bekommen!
Normale Fragen bitte weiterhin in die entsprechenden Foren!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 16-02-2010, 13:22
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Question Datenbanken Intern Extern syncronisieren ???

Hallo

also es gibt eine interne DB, wo z.b. user-daten liegen

und es soll eine externe geschaffen werden, wo die gleichen user-daten liegen sollen.

aus sicherheitsgründen soll / muß diese trennung vorgenommen werden.

im externen / öffentlichen bereich können die user ihre daten bearbeiten / ändern.

und meine idee ist, einmal am tag z.b. einen cronjob laufen zu lassen, der die daten dann in der internen DB anpasst.

bzw. können die leute, die zugang zur internen haben, die DBs auch manuell per klick aktualisieren.

So, ich hoffe das war verständlich und mir kann jemand sagen, ob das so ein vernünftiger weg ist, oder was ich wie ändern sollte ?!?!?
Mit Zitat antworten
  #2 (permalink)  
Alt 16-02-2010, 13:30
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo,

darf man fragen, was das für sicherheitsrelevante Gründe sind und was bei dem Cronjob dann genau passieren soll?

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #3 (permalink)  
Alt 16-02-2010, 13:36
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

das eine ist ne interne daten verwaltung - also mit allem was man an kritischen daten haben kann, bankverbindungen, steuernummern, kundendaten, umsätze, rechnungen etc.

und meine bekannten, für die ich das baue, wollen unbedingt eine trennung

beim cronjob sollen die daten die der kunde oder mitarbeiter ändert ( externe DB )

in der internen angepasst werden.

is das zu umständlich?
Mit Zitat antworten
  #4 (permalink)  
Alt 16-02-2010, 13:46
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Werden im Cronjob dabei noch irgendwelche Sachen geprüft, bevor die Daten übernommen werden? Wenn ein User was ändert, tut er das ja in der externen DB. Wenn die dann mit der internen synchronisiert wird, landen die Daten ja trotzdem dort. Worin besteht der Vorteil, diese Daten nicht sofort in die interne einzuspielen?

Diese kritischen Daten sind doch trotzdem sicher, wenn das ordentlich programmiert ist. Wenn es nicht gut programmiert ist, besteht immer noch Gefahr, dass ein Angreifer manipulierte Daten in die externe einspielen kann, die dann bei der Synchronisation in die interne übernommen werden. Die Trennung alleine bringt imho keine zusätzliche Sicherheit.

Daher die Fragen: Was genau passiert bei dem Cronjob? Was macht der Cronjob in Bezug auf die Sicherheit anders als das dem User zur Verfügung stehende Änderungsskript? Inwiefern unterscheiden sich die beiden DBs inhaltlich überhaupt?
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #5 (permalink)  
Alt 16-02-2010, 13:53
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

natürlich werden beim einholen in die interne nochmal die daten gecheckt.

das problem war, das vor 2jahren eine externe anwendung gehackt wurde, und die website bei einigen suchmaschinen als gefährdet gekennzeichnet war.

ich habe mit der externen seite nix zu tun. ud kann dazu nicht viel sagen.

aber deshalb legt man jetzt ganz besonderen wert auf die trennung von

extern zugänglich und besonders gefährdet

und intern besonders geschützt, auch wenn dies paranoid erscheint
Mit Zitat antworten
  #6 (permalink)  
Alt 16-02-2010, 13:55
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
und meine bekannten, für die ich das baue, wollen unbedingt eine trennung
Weil sie glauben auf einer Festplatte im Büro sind die Daten sicherer als auf einem Server im Internet? Das ist per se nicht der Fall und es sieht so aus als wärst du derjenige, der sie darüber aufklären sollte.
Zitat:
beim cronjob sollen die daten die der kunde oder mitarbeiter ändert ( externe DB )
Auf der internen DB wird also gar nicht gearbeitet (nur Backup) oder nur read-only? Dann kann das Synchronisieren per Cron einfach mit mysqldump erledigt werden.
Mit Zitat antworten
  #7 (permalink)  
Alt 16-02-2010, 14:01
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
das problem war, das vor 2jahren eine externe anwendung gehackt wurde, und die website bei einigen suchmaschinen als gefährdet gekennzeichnet war.
Das meine ich ja: Dann war es schlampig programmiert (oder mit zu schwachen Passwörtern gesichert). Mit einer ähnlich schlampigen Programmierung könnte ein Angreifer trotzdem die externe DB hacken und diese Benutzerdaten einsehen:

Zitat:
Zitat von rossixx Beitrag anzeigen
und es soll eine externe geschaffen werden, wo die gleichen user-daten liegen sollen.

Zurück zum Thema: Du kannst das mit einem Cronjob machen, kein Problem, aber deine Auftraggeber sollten sich durch diese (imho zu kurz gedachte) Trennung keine zusätzliche Sicherheit versprechen, sondern lieber darin investieren, die externe DB und die damit verbundenen Skripte sicher zu machen, als etwas unsicheres hin und her zu kopieren.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #8 (permalink)  
Alt 16-02-2010, 14:06
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

upps

der "interne Server" wird natürlich zum arbeiten verwendet.

es geht glaube ich vor allem um die trennung von extern und intern.

da die befürchtung besteht, das der öffentliche bereich geknackt werden könnte.
und in diesem fall wären nur die nicht-kritischen daten betroffen.

oder würdet ihr z.b. ne buchhaltungssoftware freischalten, das die mitarbeiter ihre daten ändern können ?!?!

zumal die geänderten daten - grundsätzlich überprüft werden müssen. also nicht nur per skript auch per mitarbeiter.

z.b.

2 neue datensätze in der DB
5 datensätze geändert
anzeigen der datensätze etc.
Mit Zitat antworten
  #9 (permalink)  
Alt 16-02-2010, 14:12
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
oder würdet ihr z.b. ne buchhaltungssoftware freischalten, das die mitarbeiter ihre daten ändern können ?!?!
Die Mitarbeiter sollen dafür gefälligst auf Arbeit kommen Aber ich würde ggf. den Klienten ein Login zur Verfügung stellen, so dass sie ihre Daten ändern können. Die DB dafür hätte ich trotzdem intern, die Skripte die auf diese DB zugreifen würde ich auf den Bastion Host legen und damit nach außen zur Verfügung stellen. Wo läge da das Problem? Selbst wenn einer das DB-Passwort erraten würde, müsste er erstmal in die demilitarisierte Zone eindringen, um auf die DB zugreifen zu können.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #10 (permalink)  
Alt 16-02-2010, 14:18
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Anstatt Alchemie zu fröhnen und mystisch-komplex die Datenhaltung aufzusplitten, sie dann aber mehr oder weniger stümperhaft wieder zusammenzuführen, würde ich lieber ein paar Mark in die Hand nehmen und jemanden engagieren, der Ahnung davon hat, wie man ein Netzwerk sauber und effektiv abschirmt bzw. schützt – und natürlich auch entsprechend fähige Entwickler einsetzen bzw. den bestehenden Schulungen oder Ausbildung bezahlen, sofern sie keine Ahnung haben. Für mich wirkt das vorgehen nämlich reichlich kopflos und mehr wie eine "Probieren wir es mal so"-Entscheidung.
Mit Zitat antworten
  #11 (permalink)  
Alt 16-02-2010, 14:19
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

hört sich soweit gut an.

da es aber eine mittlere katastrophe gab und nicht geklärt werden konnte, wo die sicherheitslücke lag.

also bei den normalen mitarbeitern, bei den webdesignern / programmierern oder externe webanwendungen...

und genau deswegen diese trennung als logische sicherheitsstufe. vielleicht sind ja auch die zuständigen für den externen ( webbereich ) nachlässig.

also ich hab nicht die zeit deren skripte zu checken.

vielleicht ist das auch ne grundsatzdiskussion, wie arbeiten mit externen firmen bzw. entwicklern ???
Mit Zitat antworten
  #12 (permalink)  
Alt 16-02-2010, 14:26
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
da es aber eine mittlere katastrophe gab und nicht geklärt werden konnte, wo die sicherheitslücke lag.
Die eigentliche Katastrophe ist eigentlich, dass das nicht ermittelt wurde. Woher wollt ihr wissen, dass die Sicherheitslücke nicht weiterhin existiert. Das ist nicht nur meinem persönlichem Empfinden nach fahrlässig, sondern wird im Falle eines Falles auch vor Gericht nicht großartig anders aussehen!

Ich frag mich ernsthaft, was da unternommen wurde? Wurde der Service umgehend eingestellt. Wurde einfach nichts gemacht? Das Einfallstor ist ja offensichtlich nie geschlossen worden.

Zitat:
Zitat von rossixx Beitrag anzeigen
vielleicht ist das auch ne grundsatzdiskussion, wie arbeiten mit externen firmen bzw. entwicklern ???
Das macht eigentlich früher oder später bzw. im großen oder kleinen Ausmaße jeder. Aber auch hier: Fähige Leute aussuchen. Nicht den erstbesten Oberstufler in den Sommerferien nehmen, der das ganze für 5 EUR die Stunde macht.
Mit Zitat antworten
  #13 (permalink)  
Alt 16-02-2010, 14:38
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Arrow sag niemals nie

nein ermittelt wurde die sicherheitslücke nicht.

aber dafür der gesamte webspace gelöscht, da niemand mit sicherheit sagen konnte, was das problem verursacht hat.

vor gericht soll sowas erst gar nicht gehen. denn wie gesagt, die internen daten dürfen nicht verloren gehen, komme was da wolle.

und oberstufler oder berufsneulinge arbeiten eigentlich nicht in diesen bereichen.

aber ist das mit den zwei DBs und verschiedenen Servern nachvollziehbar oder paranoid oder einfach zu aufwendig ???
Mit Zitat antworten
  #14 (permalink)  
Alt 16-02-2010, 14:44
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
aber ist das mit den zwei DBs und verschiedenen Servern nachvollziehbar oder paranoid oder einfach zu aufwendig ???
Nachvollziehbar ist es für mich nicht (aus genannten Gründen). Paranoid wäre es eventuell, wenn es was bringen würde, tut es aber nicht, daher ist es eher eine naive Idee. Zu aufwändig ist es auch, vor allem, weil der Aufwand keinen nennenswerten Nutzen bringt.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!

Geändert von AmicaNoctis (16-02-2010 um 14:51 Uhr)
Mit Zitat antworten
  #15 (permalink)  
Alt 16-02-2010, 14:45
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
und oberstufler oder berufsneulinge arbeiten eigentlich nicht in diesen bereichen.
Das war natürlich nur stellvertretend für "Den erst besten" gemeint.

Zitat:
Zitat von rossixx Beitrag anzeigen
aber ist das mit den zwei DBs und verschiedenen Servern nachvollziehbar oder paranoid oder einfach zu aufwendig ???
Für mich erschließt sich hier kein Nutzen.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Tabellen syncronisieren der_meier_hans SQL / Datenbanken 2 12-05-2008 16:41
MYSQL Datenbanken Syncronisieren schroed99 SQL / Datenbanken 8 18-09-2007 21:50
[Perl] Von intern auf extern Variable stellen!? the_weird ASP, PERL, CGI, C und alles andere 2 24-12-2003 12:30
Suchfunktion Intern figugegu PHP Developer Forum 3 20-10-2003 21:59
Bei Abfrage intern zusammenzählen Wunki SQL / Datenbanken 2 10-12-2002 00:38

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script ansehen ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script

Mit unserer Lösungen können Sie nahezu jeden B2B / B2C Marktplatz betreiben den Sie sich vorstellen können. Ganz egal ob Sie einen Automarktplatz, Immobilenportal oder einfach einen Anzeigenmarkt betreiben möchten. Mit ebiz-trader können Sie Ihre Anforder

11.10.2018 Berni | Kategorie: PHP/ Anzeigenmarkt
PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 11:19 Uhr.