Ich habe gerade etwas in meinen alten ct‘ Zeitschriften gestöbert und bin dabei in der Ausgabe 26/2006 auf den sehr interessanten Artikel Sicherheit von Webanwendungen gestoßen. Darin werden noch einmal ausführlich die momentan gängigen Angriffe, wie
- Cross Site Scripting
- Remote Code Execution und
- SQL Injektion
erläutert. Besonders WEB 2.0 Anwendungen sind gefährdet, da sich hier der gesamte Angriff auf dem Nutzerrechner abspielen kann.
Die meisten shared Webhosting Angebote basieren auf PHP. Ein großes Problem bei PHP ist, dass die Sicherheitsregeln (in der php.ini) nur global und nicht für jede Applikation einzelnd eingestellt werden können. Daher werden oft die Sicherheitsparameter weniger stark eingestellt, damit die Skripte der Kunden laufen. Die wichtigsten Parameter für die Sicherheit sind:
table.settings, table.settings th, table.settings td{border: 1px solid black}
table.settings {border-collapse:collapse}
| Parameter | Beschreibung |
|---|---|
| register_globals = off | verhindert, dass Variablenzuweisungen in HTTP Anfragen und Cookies globale Programmvariablen überschreiben |
| allow_url_fopen = off | sorgt dafür, dass PHP Skripte nur lokale Dateien des Servers einbinden können |
| safe-mode = on | bewirkt unter anderem, dass der PHP Prozess nur noch auf Dateien und Verzeichnisse zugreifen darf, die dem Nutzer gehören, mit dessen Rechten der PHP Prozess läuft |
| open_basedir = /pfad/zum/www-ordner | legt ein Verzeichnis fest, außerhalb dessen PHP Skripte keine Dateien öffnen können. |
| display_errors = off | Bei Fehlern in PHP Skripten wird die PHP eigene Fehlermeldung unterdrückt, in der unter anderem der Dateisystempfad zur Webapplikation enthalten ist |
Quelle ct‘ 26/2006
Auch die Online Resourcen zum Artikel sind äußerst interessant:
all-IT 