php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Sonstiges > Off-Topic Diskussionen
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 24-06-2008, 15:02
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard Security auslassen

Hallo zusammen!

Die folgende Frage wäre jetzt eher so eine, welche ich in einem Chat stellen würde, weil sie net spezifisch was mit Code zu tun hat.. Drum hab ichs net bei PHP Security..

Meine Frage:
Darf man absichtlich Security bei PHP auslassen? So z.B. bei:
- Aufträgen, wo Geld im Spiel ist, aber nichts wegen Security erwähnt wurde.
- kleine Communityprojekte
- sonstige Situationen?

Teils ist es ja doch ein rechtes Stück Arbeit. Wenn man Quoten, IP-Adresse speichern, Hashes, Softwarepatches, etc.. auslassen kann, wäre das schon eine rechte Erleichterung.. Vorallem bei Zeitdruck..

Ist sowas unangebracht oder kommt es auf die Situation draufan? Muss ich ein schlechtes Gewissen haben?

Danke im Voraus für die Beiträge und eure Meinungen

Gruss
Onyx
Mit Zitat antworten
  #2 (permalink)  
Alt 24-06-2008, 15:12
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

also sobald geld im spiel ist wird ja auch der webseiten betrieber was davon bekommen .. und dafür sollte man sich auch die zeit nehmen für sicherheit zu sorgen.

wäre ja schon blöd wenn dann wegen der webseite arge probleme auftreten ... wie abbuchungen ohne grund etc

communityprojekte ... je nach dem ... clan-scripte werden in der regel einmal erstellt .. dann vllt mal hin und wieder eine neue funktion dazu .. fertig.
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #3 (permalink)  
Alt 24-06-2008, 15:15
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Beabsichtigtes auslassen ist Fahrlässigkeit und wird in jedem Softwarevertrag beklauselt.

Aber allein auf die Idee zu kommen so zu arbeiten ist peinlich.
Mit Zitat antworten
  #4 (permalink)  
Alt 24-06-2008, 16:14
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Aber allein auf die Idee zu kommen so zu arbeiten ist peinlich.
Aber echt. Sorry, aber das ist die saublödeste Frage, die mir seit langem untergekommen ist. Da fehlen mir die Worte.

Zitat:
Beabsichtigtes auslassen ist Fahrlässigkeit und wird in jedem Softwarevertrag beklauselt.
Das ist auch ohne Klausel und ohne Vertrag Fahrlässigkeit.

Geändert von pekka (24-06-2008 um 16:25 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 24-06-2008, 17:49
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Was soll denn die Empörung

Wie's z.B. UzumakiNaruto geschrieben hat:
Ein Clan will möglichst bald eine Homepage, sie fragen mich ob ich das nicht übernehmen könnte, ich programmiere ein bisschen was und sichere nicht gross was ab. Sagen wir der Clan besteht aus 7-8 Leuten.
Dann find ich die Überlegung überhaupt net daneben, ein bissl was auszulassen!

Dass ihr bei
Zitat:
Aufträgen, wo Geld im Spiel ist, aber nichts wegen Security erwähnt wurde
den Kopf schüttelt versteh ich ja, aber bei so Kleinprojekten?

Ich hab net Unmengen an Zeit, und Zeit ist Geld meine Lieben

EDIT: Find ich immer toll wenn Posts die Gemüter bewegen ^^
Mit Zitat antworten
  #6 (permalink)  
Alt 24-06-2008, 17:54
case
 Registrierter Benutzer
Links : Onlinestatus : case ist offline
Registriert seit: Mar 2007
Beiträge: 265
case ist zur Zeit noch ein unbeschriebenes Blatt
case eine Nachricht über ICQ schicken
Standard

so, ich will auch mal meinen Senf dazu abgeben


Also man sollte eine Grundsicherheit immer in allem was man macht drin haben, das gilt auch für clan-scripte...... stell dir mal vor du lässt eine Lücke, wo man etwas SQL Injecten könnte, da es ja "nur" für einen Clan ist gibt es keine Backups und die Datenbank ist weg

z.B. bei generellem IP-loggen, was du ja auch aufgeführt hast, sieht das natürlich schon ganz anders aus. So etwas würde ich auch nur einbauen, wenn es gefordert ist.
__________________
signed oder unsigned... das ist hier die Frage
Mit Zitat antworten
  #7 (permalink)  
Alt 24-06-2008, 17:57
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Wenn du dir der Risiken unsicherer Software nicht bewusst bist, dann verkaufe deine Programmierdienste nicht! Es gibt eine ganze Reihe von Programmen, die eine Seite auf beliebte Anfängerfehler hin testen, und ggf. über gefundene Lücken einbrechen können. Eine so platzierte Shell kann schnell zum finanziellen Tod des Serverbetreibers werden. Ein bischen Spam hier, ein paar Kinderpornos da, und Ratz-Fatz hagelt es Abmahnungen und Anzeigen. Und das nur, weil du die schnelle Mark machen wolltest!

Was soll denn die Empörung fragst du da noch?
Mit Zitat antworten
  #8 (permalink)  
Alt 24-06-2008, 18:00
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Absolut unfassbar. Informiere dich mal was über Sicherheitslücken in Web-Programmen alles möglich ist.

Warum wollen eigentlich alle mit jedem Scheiß sofort Geld machen? Clanwebsite... Wenn ich das schon höre!
Mit Zitat antworten
  #9 (permalink)  
Alt 24-06-2008, 18:11
Onyxagargaryll
 Registrierter Benutzer
Links : Onlinestatus : Onyxagargaryll ist offline
Registriert seit: Nov 2007
Ort: Schweiz
Beiträge: 239
Onyxagargaryll ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also den Kommentar fand ich jetzt gänzlich unproduktiv oO
1. Woraus schliesst du, ich hätte keine Ahnung was Sicherheitsrisiken anbelangt?
und 2. die Clanwebsite wäre natürlich zum gratis machen, da wäre kein Geld im Spiel (siehe oben).

Gruss
Onyx
Mit Zitat antworten
  #10 (permalink)  
Alt 24-06-2008, 18:12
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

WTF? Wieso bist du mit einem Projekt schneller fertig, wenn du auf Sicherheit verzichtest?! Kannst du mal ein Beispiel geben?

Die meisten Dinge, auf die es zu achten gilt, sind einem doch so in Fleisch und Blut übergegangen, dass man sich schon konzentrieren müßte, um es bewußt anders, nämlich falsch/unsicher zu machen. Ist wie mit dem Blinken beim Autofahren. Schon mal versucht, das wegzulassen?

Übrigens hat Logging nichts mit Sicherheit zu tun. Logs helfen dir nach einem Vorfall, können ihn aber nicht verhindern.
Botsperren erhöhen ebenfalls nicht die Sicherheit einer Seite. Sie schützen nur vor automatisiertem Müllabladen. Die Betonung liegt hier auf automatisiert. Inhaltlichen Müll kann nämlich auch ein normaler User produzieren. Gefährlich ist das aus technischer Sicht nicht.

Logging und Captchas sind Features und als solche würde ich sie ohne explizite Anforderung auch nicht einbauen. Allerdings verstehe ich es als meine Aufgabe, den Kunden schon bei der Konzeption darauf hinzuweisen, wie sinnvoll diese Features sind.

Geändert von onemorenerd (24-06-2008 um 18:17 Uhr)
Mit Zitat antworten
  #11 (permalink)  
Alt 24-06-2008, 18:28
case
 Registrierter Benutzer
Links : Onlinestatus : case ist offline
Registriert seit: Mar 2007
Beiträge: 265
case ist zur Zeit noch ein unbeschriebenes Blatt
case eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von onemorenerd
Ist wie mit dem Blinken beim Autofahren. Schon mal versucht, das wegzulassen?
Also das probier ich nachher mal aus
__________________
signed oder unsigned... das ist hier die Frage
Mit Zitat antworten
  #12 (permalink)  
Alt 24-06-2008, 18:47
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Zitat:
Original geschrieben von case
Also das probier ich nachher mal aus
War natürlich nur ein Beispiel. Wahrscheinlich kann man es tatsächlich unterdrücken. Aber ansonsten ist es eine gute Analogie. Ohne Blinken ist einfach gefährlicher, verstößt gegen die StVO, es erlischt der Versicherungsschutz und man ist keine Sekunde eher am Ziel.
Mit Zitat antworten
  #13 (permalink)  
Alt 24-06-2008, 19:30
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Ob Clanwebsite für Umme oder bezahltes Projekt: Es gibt Dinge, die gehören dazu, und darüber nachzudenken, diese wegzulassen, ist mehr als idiotisch - so, als würde ein Maurer für ein gering oder gar nicht bezahltes Projekt Mörtel verwenden, der nach 14 Tagen brüchig wird. Dazu gehören z.B. das Escapen von Benutzereingaben, das Vorverarbeiten von Request-Variablen bevor diese z.B. zum Includen von Dateien benutzt werden, und sonstige dem gesunden Menschenverstand entspringende grundlegende Sicherheitsüberlegungen. Wer diese Dinge wegläßt, um schneller fertigzuwerden, ist ein Pfuscher.

Dann gibt es, wie onemorenerd schon sagt, Features wie Captchas, Logging und dergleichen. Oder hochgradige Sicherheitsvorkehrungen wie PHPIDS, Hardened PHP und so weiter. Während sicherlich allesamt zu empfehlen, sind das Dinge, die man nicht in jedem Projekt umsetzen kann und auch nicht muß.

Meine 2 Cents.
Mit Zitat antworten
  #14 (permalink)  
Alt 24-06-2008, 20:26
Kropff
  Administrator
Links : Onlinestatus : Kropff ist offline
Registriert seit: Mar 2002
Ort: Köln
Beiträge: 11.722
Kropff befindet sich auf einem aufstrebenden Ast
Standard

jetzt will ich auch mal meinen senf dazu geben!

in meiner alten agentur gab es kunden, die wegen jeder minute programmierarbeit rumgefeilscht haben! die wollten wirklich nur quick-and-dirty, hopplahopp und kosten durfte es sowieso nichts. da hab ich denen gesagt, dass ich da mit uraltem code und copy&paste etwas in der geforderten zeit zusammenhauen kann, auch wenn die sicherheitslücken immens sind. aber das hat denen gefallen. sicherheit spielte keine rolle, wenn es etwas kostete.

daher: wer nicht bereit ist, für sicherheit und sauberes programmieren zu bezahlen, bekommt auch keine!

ansonsten würde ich aber sagen, dass man gerade bei privaten projekten, die für lau sind, sich das thema sicherheit sehr gut antrainieren kann. also sauber programmieren und alle lücken stopfen. allerdings müssen die clan-fuzzis dann auch bereit sein, sich ein wenig zu gedulden. denn wenn es schnell gehen soll, dann halt ohne sicherheit.

gruß
peter
__________________
Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
Meine Seite
Mit Zitat antworten
  #15 (permalink)  
Alt 24-06-2008, 20:53
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

OffTopic:
Muss ja ein toller Arbeitgeber gewesen sein.
No offense.

Dein Arbeitgeber hat sich sicherlich von allen Rechtsansprüchen, die aus Sicherheitsmängeln entstehen, vertraglich befreit. Wenn er auf seinen Ruf bedacht war, hat er außerdem auf einer Klausel bestanden, die vom Kunden im Schadensfall Stillschweigen fordert oder zumindest die explizite Angabe, dass er diesen Sicherheitsmangel so beauftragt hat.

Es ist ein großer Unterschied zwischen eigenmächtigem "Security auslassen" und "Sicherheitsmängel wurden beauftragt".

Wo ich grad bei Vertrag und so bin: Pekka hat Recht. Auch ohne Vertrag und Geld bist du wahrscheinlich (bin kein Anwalt) für eine gewisse Grundsicherheit verantwortlich. Alles andere wäre, um mal wieder eine Analogie zu verwenden, so, als ob ich dir ein Geschenk mache, von dem ich genau weiß, dass es beim Gebrauch explodiert.

Geändert von onemorenerd (24-06-2008 um 20:58 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 00:16 Uhr.