geschützte Bereiche

G

Guest

Guest
Hallo,

Nun hab ich ein paar Seiten, die nur dem Admin zugänglich sein sollen.
Reicht es, wenn ich

if($_SERVER['HTTP_HOST']=='localhost'){

setze, oder sollte ich noch ein Passwort dazugeben?
 
ne würde ich nicht sagen. also http_host auf jeden fall nicht. der gibt einfach den namen des SERVERS aus also _SERVER['HTTP_HOST'] aufgerufen in einer PHP Datei auf Ayom.com würde www.ayom.com ausgeben. Also nicht das was du suchst.

Wenn nur du in einen bestimmten Bereich deiner Seite kommen sollst gibt es da meiner Meinung nur 2. Möglichkeiten.
1. du hast eine Statische IP-Adresse (also immer die selbe) dann kannst du im Script schreiben.
CODE
<?php
if ( $_SERVER['REMOTE_ADDR'] == 'MEIN.IP' ) {
echo 'ok ich bins';
}

?>



du könntest die IP natürlich auch immer anpassen *g*

2. Du schützt den Bereich extra, entweder durch PHP oder z.b. auch dur htacces...
 
Ja, so eine statische IP macht vieles einfacher.
wink.gif


wenn man http://localhost/hp/newuser/conf.php auf dem localhost eingibt, kommt aber

echo $_SERVER['HTTP_HOST']
ausgabe: localhost

raus und wenn man
http://www.gruppenfreizeit.com/hp/newuser/conf.php eingibt.

echo $_SERVER['HTTP_HOST']
ausgabe: www.gruppenfreizeit.com

bei htaccess hab ich unter windows immer schwierigkeiten
 
Hi Tuemmel

Ja, dass http_host diese Resunltate ausgibt, hat ja manuel schon geschieben. Stimmt auch so Server Hauptdomain zwischen http:// und vor /.

O.K. htaccess auf win ist ein problemchen, aber es gibt genug alternativen dazu.
Mittels eines Loginfenster (pop-up) z.Bsp. md5 ( Hash-Wert ) keine Verschlüsselung wie auch .htaccess.

Session ID
DB- Eintrag der aktuellen session
passwort mit MD5 schiffrieren und erst dann versenden.
Session vergleich mit dem Eintrag in der DB, zusätzlich können noch weitere Werte abgeglichen werden um die Sicherheit zu erhöhen. (User ID, Logtime... müssen dann auch mit der Session mitgegeben werden.)

Gruss René
 
Ciao zweb,

Verschlüsseln tue ich im Membereich, da dieser ja über das 3w zu erreichen sein muss.

Für die geschützten Adminbereich lasse ich das jetzt einfach so, da ich keinen remote access über das 3w brauche.
Ich wollte nur wissen, ob irgendwelche einfachen Hacks dafür gibt, aber das scheint ja nicht der Fall.
 
QUOTE if ( $_SERVER['REMOTE_ADDR'] == 'MEIN.IP' ) {
echo 'ok ich bins';
}


Das ist ja absolut minimalistisch! Wäre ich gar nicht draufgekommen...
rolleyes.gif
Aber die einfachsten Lösungen sind halt doch oft die besten...
cool.gif


Ist denn eine solche IP nicht fälschbar?
 
Wüsste ich nicht. Denke nein, aber es könnte schon Tools dazu geben, aber der Angreifer müsste ja die IP deines PCs wissen.
 
Damit wäre aber schon ein beträchtliches Risiko verbunden, denn ich denke mal, es wird nicht so schwer sein, die IP oder zumindest dessen etwaige Range in Erfahrung zu bringen, wenn man nur einen kleinen Hinweis hat (etwa Hoster).
 
Naja, im Prinzip ist es (mit hohem Aufwand!) möglich, die Absender-IP eines IP-Pakets zu spoofen. Ob der Angreifer 1.) damit einen kompletten HTTP-Request durchführen und 2.) damit auch tatsächlich Schaden anrichten kann, ist eine andere Frage.

Was spricht dagegen, den IP-Check mit z.B. einer harmlosen HTTP-Authentifizierung zu koppeln?
 
unter linux und unix sollte das theoroetisch auch so gehen:

mkdir ("/somedir/somefile", 0600);

oder falls die directory bereits vorhanden ist:

chmod ("/somedir/somefile", 0600);

hab ich aber noch nicht ausprobiert
 
QUOTE (Tuemmel @ Di 21.6.2005, 13:00) chmod ("/somedir/somefile", 0600);

Das würde lediglich bewirken, dass der Webserverprozess, insofern er nicht auch Besitzer der Datei ist, diese nicht mehr einlesen kann. Egal, ob der HTTP-User ein Admin ist oder nicht, bzw. von welchem Host er kommt.
 
QUOTE (manuel @ Mo 20.6.2005, 20:30) ne würde ich nicht sagen. also http_host auf jeden fall nicht. der gibt einfach den namen des SERVERS aus also _SERVER['HTTP_HOST'] aufgerufen in einer PHP Datei auf Ayom.com würde www.ayom.com ausgeben. Also nicht das was du suchst.

Wenn nur du in einen bestimmten Bereich deiner Seite kommen sollst gibt es da meiner Meinung nur 2. Möglichkeiten.
1. du hast eine Statische IP-Adresse (also immer die selbe) dann kannst du im Script schreiben.

CODE
<?php
if ( $_SERVER['REMOTE_ADDR'] == 'MEIN.IP' ) {
 echo 'ok ich bins';
}

?>



du könntest die IP natürlich auch immer anpassen *g*

2. Du schützt den Bereich extra, entweder durch PHP oder z.b. auch dur htacces...

Ob du if ($_SERVER['REMOTE_ADDR'] == 'MEIN.IP' ) in dem Fall 127.0.0.1
oder if ($_SERVER['HTTP_HOST'] == 'localhost' )

ist Jacke wie Hose, wenn man einen Bereich zugreifen will, der nur vom eigenen localhost aus erreichbar sein soll.
wink.gif


Danke für die ... Kommentare.
 
QUOTE (Josh @ Di 21.6.2005, 7:08)[...]
Ist denn eine solche IP nicht fälschbar?

Klar ist die fälschbar. Immerhin reden wir hier von elektronischen Daten. Es können auch MAC-Adressen gefälscht werden. Letzendlich ist aber auch die Frage, wohin die Antworten des Webservers dann hingehen, wenn die IP Adresse geändert wird, und wie umfangreich das Wissen des Angreifers ist. ;-)
100% Sicherheit gibt es nicht, nicht mal dann wenn du den Stecker zum Netzwerk herausziehst, denn dann könnte jemand auf die Idee kommen deine Festplatte einfach zu klauen.



QUOTE (Hendrik)[...]
Was spricht dagegen, den IP-Check mit z.B. einer harmlosen HTTP-Authentifizierung zu koppeln?

Die Funktionweise dieser Authentifizierung spricht dagegen, den bei jeder Anfrage werden die Anmeldedaten im Klartext überliefert. Und bisher wüsste ich nicht, dass sich daran etwas geändert hat.



MfG Sascha Ahlers
 
QUOTE (Sascha Ahlers @ Sa 30.7.2005, 13:30) 100% Sicherheit gibt es nicht, nicht mal dann wenn du den Stecker zum Netzwerk herausziehst, denn dann könnte jemand auf die Idee kommen deine Festplatte einfach zu klauen.

und dann könnte auch ein Blumentopf vom Dach auf den PC fallen
ohmy.gif
oder ein Meteor in den PC einschlagen
ohmy.gif
und und und...
Sichere PC-Gehäuse wären sicher noch einen Marktlücke oder gibt's dafür eine Versicherung?
laugh.gif
 
QUOTE (Tuemmel @ Sa 30.7.2005, 15:57)
QUOTE (Sascha Ahlers @ Sa 30.7.2005, 13:30) [...] denn dann könnte jemand auf die Idee kommen deine Festplatte einfach zu klauen.

[...]
Sichere PC-Gehäuse wären sicher noch einen Marktlücke oder gibt's dafür eine Versicherung?
laugh.gif


Du magst Lachen, aber solche Fälle gab es wirklich schon. Es kommt einfach auf die Summe Geld an, welche dabei im Spiel ist. Besonders im Zusammenhang mit Preisauschreiben, welche als PR-Gag für die Sicherheit einiger Produkte geführt wurden, ist sowas bereits passiert.

Ist halt schon etwas blöde, wenn zwei Besucher durch das Rechenzentrum geführt werden und einer beiden die Festplatte aus dem Server reißt, während der andere den Mitarbeiter ablenkt.


Nebenbei, so eine Marktlücke ist das nicht mehr, es gibt schon Tresore, wo der Rechner alleine im laufenden Betrieb eingeschlossen werden kann.



MfG Sascha Ahlers
 
Eben, demnächst sind die pc dann wieder eine Tonne schwer, um den Festplattenreissern das Handwerk zu legen.
laugh.gif
 
Dann schließen die Klauer eben ein Lanstecker an den Server und überspielen die Daten auf ihr Notebook oder / und löschen den Inhalt der Festplatte.
biggrin.gif
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben