php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Sonstiges > Off-Topic Diskussionen
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig!

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #76 (permalink)  
Alt 29-12-2009, 09:51
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Zitat:
Zitat von fireweasel Beitrag anzeigen
Und dieser Angriff wurde nur entdeckt, weil auch der "pöse Hacker" seinen Quellcode vor dem Upload nicht auf Syntax-Fehler gecheckt hat.
Der Hacker hat vielleicht einfach eine Reihe bekannter Exploits durchprobiert bis er einen funktionierenden fand. Die Fehlermeldungen haben ihn dabei nicht gestört. Der Angriff wurde evtl. erst entdeckt, als das Kind schon im Brunnen lag und man des Kindes Tagebuch^WLogfiles las.
Es geht aber gar nicht ums gehackt werden. Das kann auch ohne eval passieren. Es geht vielmehr darum, dass man so einer eval-Fehlermeldung nichts hilfreiches abgewinnen kann. Ge-eval-ter Code lässt sich einfach schlecht debuggen.

Zitat:
Wenn ich mich recht erinnere (das ist schon ein Weilchen her), bin ich davon ausgegangen, dass der PHP-Quellcode von einem Menschen eingegeben wird, der dem Webmaster wohlgesonnen ist, also ein Kollege, Mitarbeiter oder der Site-Betreiber selbst.
In meiner Erinnerung waren es die Signaturen von Benutzern. Egal ... geht ja ums Prinzip. Und da ist das mit dem Vertrauen so eine Sache - weiß denn ein Site-Betreiber überhaupt, dass sein vB rum-eval-t?

Geändert von onemorenerd (29-12-2009 um 09:55 Uhr)
Mit Zitat antworten
  #77 (permalink)  
Alt 29-12-2009, 10:45
ragtek
 Registrierter Benutzer
Links : Onlinestatus : ragtek ist offline
Registriert seit: Dec 2009
Beiträge: 13
ragtek befindet sich auf einem aufstrebenden Ast
Standard

Weiß der "durchschnittliche" Seitenbetreiber überhaupt, wie seine Seite funktioniert?

Meiner Meinung nach, installieren viele fertige Pakete ala joomla, phpbb, konfigurieren diese und das war damit für sie.
Merkt man doch immer wieder in den Supportforen für die einzelnen Produkte
Mit Zitat antworten
  #78 (permalink)  
Alt 29-12-2009, 11:54
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Zitat:
Zitat von ragtek Beitrag anzeigen
Weiß der "durchschnittliche" Seitenbetreiber überhaupt, wie seine Seite funktioniert?
Weiß er nicht und kann/soll er auch nicht wissen.
Zitat:
Es ist doch egal ob man ein System durch Dateiänderungen laut Anweisung, eval oder require_once verändert.
Über jede von den genannten Möglichkeiten kann böser Code eingeschleust werden.
Dateiänderungen und require gehen Hand in Hand, wenn es um Code Injection geht. Der Unterschied zu eval ist, dass man sich vor unerlaubten Veränderungen der eigenen Dateien ziemlich einfach schützen kann. Man vernagelt den Dateisystemzugriff aus dem Netz und sichert alle Dateioperationen einer Applikation ab. Der Code, der durch eval gejagt wird, kommt nicht aus einer Datei. Der kommt aus einem nicht-dateibasierten Storage, z.B. einer DB oder live aus Benutzereingaben (run-once). In beiden Fällen muss man sicherstellen, dass der Code nicht schädlich ist. Das muss zwangsläufig direkt während der Ausführung geschehen, denn Code kann sich bei jeder Ausführung anders verhalten. Wirklich sicheres eval benötigt also eine Sandbox, sprich VM. Zu diesem Aufwand steht der Nutzen von eval in keinem gesunden Verhältnis.
Mit Zitat antworten
  #79 (permalink)  
Alt 29-12-2009, 12:26
ragtek
 Registrierter Benutzer
Links : Onlinestatus : ragtek ist offline
Registriert seit: Dec 2009
Beiträge: 13
ragtek befindet sich auf einem aufstrebenden Ast
Standard

Ja, ich teile (fast komplett) deine Meinung, aber der Trend geht doch in eine andere Richtung (wo ich dagegeben bin, es gibt wie wir uns beide einig sind, zu viele Sicherheitsbedenken, aber der 0815 Benutzer will es meißt so).

Applikationen wie zB das Wordpress, das WBB3 erhalten automatische Updateprozesse und One Click Erweiterungsinstallation, die es ermöglichen, nur den Erweiterungennamen reinschreiben, und das Skript verbindet sich mit dem Server, lädt das Archiv runter, entpackt es und installiert alles unnötige.

Hier sind die Sicherheitsrisiken noch viel enormer.
Man stelle sich nur mal ein gehacktes Archiv vor....
Aber egal, ich glaube das es hier schon extrem in den Offtopicbereich ausartet...
Mit Zitat antworten
  #80 (permalink)  
Alt 29-12-2009, 12:41
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Ist doch egal, ist doch schon Offtopic.

Was das WP-Beispiel angeht: Ich persönlich nehme lieber ein Auto-Update-Konzept in Kauf, als das tausende ungepatchte WP-Versionen als Spamschleudern missbraucht werden. So gesehen kann man hier fragen, was passiert wenn die Debian-Repos Schadcode verteilen (was ja übrigens mindestens schon einmal passiert ist).
Mit Zitat antworten
  #81 (permalink)  
Alt 29-12-2009, 12:47
ragtek
 Registrierter Benutzer
Links : Onlinestatus : ragtek ist offline
Registriert seit: Dec 2009
Beiträge: 13
ragtek befindet sich auf einem aufstrebenden Ast
Standard

Echt, das gab es schon mal? Garnicht mitgekriegt. Danke für den Hinweis.

Aber um auf dein Beispiel einzugehen.
Nun stell dir mal eine gehackte Version vor, die per Auto Update zu zig Tausenden Benutzern kommt=> noch größere Spamschleuder möglich

Da kämmen ja auch ganz andere Szenarien in Frage (mächtiges Botnet bis es nicht entdeckt wird)

Edit:
Aso, du meinst ein Debian Repo. Ich bezog mich auf WP...
Sorry

Geändert von ragtek (29-12-2009 um 12:50 Uhr)
Mit Zitat antworten
  #82 (permalink)  
Alt 29-12-2009, 12:52
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Naja, das ist nun ein bisschen an den Haaren herbei gezogen. Ein solches würde jedem halbwegs fähigen Systembetreuer sofort auffallen. Im besagten Fall war es auch kein absichtlicher Schadcode, sondern - wenn ich mich recht erinnere - schlicht und ergreifend ein mangels Reviews eingeschlichener Bug, der allerdings dafür sorgte, dass Keys plötzlich sehr schwach wurden. Das wurde wohl auch ausgenutzt.

Edit: Und hier ist auch der Link: Debian -- Security****Information -- DSA-1571-1 openssl
Mit Zitat antworten
  #83 (permalink)  
Alt 29-12-2009, 13:35
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

So ein Auto-Update/Install-Prozess hat nichts mit eval zu tun. Da werden nur ein paar Files von irgendwoher gezogen, gespeichert und/oder in einer Plugintabelle registriert. Das funktioniert alles ohne eval und beweist einmal mehr, dass grenzenlose Flexibilität sehr gut ohne eval möglich ist.
PHP wird durch eval nicht mächtiger. Nur unsicherer.

Dass man Dateien von "irgendwoher" nicht trauen sollte, ist klar. Es gibt durchaus brauchbare Lösungen dafür - Identitätsprüfung, Zertifizierung, ... - aber letzenendes muss man immer irgend jemandem* vertrauen oder den Code vor der Installation selbst lesen.

*) Die Auto-Update-Mechanismen vieler Betriebssysteme funktionieren prinzipiell genau so. Der Updater connected sich zu einem unbekannten Server und lädt Dateien mit unbekanntem Inhalt. Millionen User vertrauen blind darauf, dass der ganze Prozess "sicher" ist. Überprüfen kann man das kaum.
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
drag and drop, includes, mysql


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
mysql table soll include einbinden recoil PHP Developer Forum 10 06-10-2009 16:38
[MySQL/PHP] table prüfen ob table exist php-sebi SQL / Datenbanken 6 26-08-2007 12:14
PHP Include von .php Dateien Table AgentCyber PHP Developer Forum 7 24-09-2006 17:46
4images per include einbinden travelfreak PHP Developer Forum 8 02-06-2006 14:18
Pfad soll im Browser nicht angezeigt werden (OT-TEIL) Wotan Off-Topic Diskussionen 92 19-04-2004 09:42

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 00:19 Uhr.