Sicherheit bei Nutzung von htmltonuke

Begonnen von raven, 02 Juli 2002, 23:07:40

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

raven

Hi,

ich möchte wie so viele meine bisherigen statischen Seiten weiterverwenden und habe ja mit html to nuke 2 Möglichkeiten:
1. für jede Seite ein eigenes php.file mit dem kopierten html-Code  ins root-Verzeichnis zu legen
oder
2. EIN php-File ins root-Verzeichnis legen und die alten HTML-Seiten per Variable beim Verlinken includen.

Ich habe glaube ich irgendwo mal was gelesen, daß das Einbinden von HTML per include mit der Übergabe der Variable im Link eine Sicherheitslücke darstellt. Das war glaube ich bei Postnuke und ich bin nicht sicher ob es hier um diese Art des Einbindens ging oder um den sogenannten Framebrowser.

Also meine Frage(n):

 Öffne ich meine Site für Hacker-Angriffe, wenn ich "htmltonuke" verwende? Speziell in der zweiten Variante mit dem include?  

Welche Möglichkeiten zur Absicherung gibt es? - Das Verzeichnis der statischen Seiten mit htaccess schützen?

Danke!

Gruß
Raven

FrankySZ

Hi raven,

solange deine htmlseiten selbst kein Sicherheitsrisiko darstellen, inhaltlich gesehen (zB Kennwoerter etc im Quelltext ), entsteht dadurch keinerlei Sicherheitsrisiko.
Wir verwenden hier ja auch teilweise beide Varianten und konnten bisher keine Probleme in der Richtung feststellen.


[Editiert am 3/7/2002 von Admin FrankySZ]
greets Franky

raven

ok,

leuchtet mir ein. Solange meine statischen Seiten nichts Kritisches enthalten dürfte nichts passieren.

Aber jemand, der das Verfahren mit dem include kennt, kann doch in der URL eine Html-Seite von einem ganz anderen Ort aufrufen und die kann wer weiß welche Scripte enthalten. Richtig? - Also bei dem Verfahren ist mir nicht wohl in meiner Haut.

Werde wohl lieber für alles eine eigene php-Datei anlegen. ist zwar mehr Arbeit und weniger übersichtlich, aber ich denke das ist die bessere Lösung.
 
Gruß
Raven

[Editiert am 3/7/2002 von raven]

MoniK


raven

Hi MoniK,

vielen Dank! Mit der Erweiterung werden also externe Seitenaufrufe verhindert die "http://..." enthalten. Reicht das denn? - Kann eventuell ein Script über eine FTP-Adresse aufgerufen werden? Wie steht es mit "unvollständigen" URLs? - Moderne Browser rufen ja mittlerweile Seiten auch auf, wenn man das http wegläßt und nur die Adresse beginnend mit "www." eingibt. Macht das ein PHP Script auch?

Vielleicht bin ich ja ein wenig zu paranoid.......  :P

Gruß Raven  

MoniK

Nein, PHP kann das nicht automatisch mit http ergänzen - die Browser haben dafür eine Standarderkennung drin.

Und Du kannst nach dem selben Prinzip auch abfragen, ob nicht nur http in der Adresse der Datei ist, die angezeigt werden soll, sondern auch, ob da <script> enthalten ist und mehr...
Ein 100%iger Schutz ist das auch nicht, aber wo gibt es den schon ?

Monika

raven

Na dann probier ichs mal damit.  :)

Danke für den Support - ist wirklich erste Sahne hier!

Gruß
Raven

wertzui

sonst versuch doch mal, die seiten inner mysql db zu speichern, nach dem schema:
$seite1 seitenurl1
$seite2 seitenurl2
...
dann kannste nur seitennehmen, die auch in deiner db gespeichert sind, und
dann kannste auch keine anderen seiten mehr includen