| |||||||
Du magst keine Werbung? Wir auch nicht!
Einfach registrieren und die Werbung ist weg. Diese Nachricht sehen nur nicht registrierte Nutzer.
 |
| | LinkBack | Themen-Optionen | Ansicht |
12-11-2010, 08:19
| #1 (permalink) |
| Neuer User Registriert seit: Sep 2006
Beiträge: 620
| PHP und Flash - Sicherheit (echo)
Hallo zusammen. Ich beschäftige mich gerade etwas genauer mit dem Thema Sicherheit und bin auf ein paar Dinge gestoßen die mir Sorgen bereiten. Wenn ich mit dem Befehl "echo" in PHP arbeite um Daten an Flash zu übermitteln kann ich diese ja z.B. mit dem Firebug abfangen. Bei meinem aktuellen Projekt gibt es ein Benutzerverwaltungssystem innerhalb des Flash-Programms. D.h. ich lade erst alle Informationen und zeige diese innerhalb der Flash-Datei abhängig an. Wenn die Informationen von jedem User abgefangen werden können ist das ja eine nicht zu unterschätzende Sicherheitslücke. Sollte man evtl. nur die Daten von PHP übertragen lassen die der Anwender auch sehen darf? Ich müsste dann mein Programm an einigen Stellen nochmal umschreiben  Ich habe mich leider erst zu spät mit dem Thema Sicherheit beschäftigt. Sonst hätte ich deswegen sicherlich schon früher gefragt  Gibt es eigentlich auch Firmen die Skripte "sicher" machen? Oder lohnt es sich da eher die paar Stunden in Lesen zu investieren um die Skripte selbst gegen XSS und SQL Injections abzusichern? MfG Monk
__________________ Flash CS5 / Flex 3 / Flashdevelop / FB 4.6 |
|  |
|
12-11-2010, 08:49
| #2 (permalink) | ||
| Inventar  Registriert seit: Jul 2002
Beiträge: 6.882
| Zitat:
Zitat:
Hier noch etwas Lektüre: [Tutorial] Websecurity SELBER testen - Flashforum Tutorial: .htaccess Schutz für jegliche Dateien ( für Fortgeschrittene) - Flashforum PHP Sicherheit - Flashforum Sicherheit SQL DB und PHP - Flashforum [tutorial] PHP Code Injection - Flashforum PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren: Amazon.de: Christopher Kunz, Peter Prochaska, Stefan Esser: Bücher
__________________ (\__/) (='.'=) (")_(") | ||
|
| |
|
12-11-2010, 09:07
| #3 (permalink) |
| Neuer User Registriert seit: Sep 2006
Beiträge: 620
|
Danke für die Links. Zwangsläufig werde ich dann wohl auch noch das lernen müssen. Ist alles eine Frage der (nicht vorhandenen) Zeit  Aber Sicherheit geht vor. Flash an allein kann man ja für sicherheitsrelevante Daten garnicht verwenden (Stichwort decompilieren). So muss ich jetzt auch noch PHP lernen um meine Vorgänge auszulagern Naja, als 1 mann Team ist das wohl so  MfG Monk
__________________ Flash CS5 / Flex 3 / Flashdevelop / FB 4.6 |
|
| |
|
13-11-2010, 09:08
| #4 (permalink) |
| Neuer User Registriert seit: Sep 2006
Beiträge: 620
|
Mir ist da gerade ein neues Problem aufgefallen welches eher mit Flash zu tun hat (falls ich dafür ein neues Topic bei Flash aufmachen sollte bitte sagen )Ich kenn mich zwar nicht mit Hacken und ergo nicht mit Sicherheit aus aber arbeite schon seit Jahren mit dem FireBug. Mit dem habe ich jetzt mal überprüft welche Komunikation zwischen meinen Programmen und den Server vor sich geht. Dabei ist mir aufgefallen, dass beim Anmelden das Passwort aus Flash sowie der Benutzername als Plain Text übermittelt werden. Daraufhin habe ich mal nach der MD5 Verschlüsselung innerhalb von Flash gesucht. Leider ohne großen Erfolg (anscheinend gibt es extra klassen von drittanbietern dafür?!). Nun stelle ich mir die Frage wie das von den anderen Leuten gelöst wurde. Oder ist es nicht ohne weiteres möglich die Daten unbemerkt abzugreifen? Ach und nochwas: ich habe mal versucht SQL injections bei meinen Programmen zu machen. Kann es sein, dass utf8_decode() dies auch verhindert? MfG Monk
__________________ Flash CS5 / Flex 3 / Flashdevelop / FB 4.6 |
|
| |
|
13-11-2010, 09:46
| #5 (permalink) |
| Inventar Registriert seit: Jul 2002
Beiträge: 6.882
|
Gerade was WLAN angeht ist das abgreifen der Daten sehr leicht für Profis. Grade letzhin hat hat jemand eine App geschrieben bei der man einfach in einem Terminal warten muss und die Passwörter/Accountdaten für Facebook, Twitter etc. automatisch abgefangen werden ( Firesheep - codebutler ). Deine Passwörter bereits in Flash MD5 zu verschlüsseln wäre natürlich ein Anfang. Aber unter uns: Sofern deine User keine sensiblen Daten in dein System eingeben, welches das Hacken überhaupt lohnenswert macht, ist der Aufwand IMHO überflüssig.
__________________ (\__/) (='.'=) (")_(") |
|
| |
|
13-11-2010, 10:20
| #6 (permalink) |
| Neuer User Registriert seit: Sep 2006
Beiträge: 620
|
Ich denke das ich mal mein Programm weiter auf offensichtliche Sicherheitslücken untersuchen werde und einen Problemkatalog zusammen stelle den ich dann den verantwortlichen Personen vorstellen werde. Sollten die Daten als zu vertraulich eingestuft werden muss halt ein Freelancer oder ein Firma ran... Ich habe noch so viel zu lernen und so wenig Zeit (und dabei bin ich nicht einmal Programmierer )Die bekannten Sicherheitslücken (für injections und xss) werde ich trotzdem versuchen zu schließen. Ein gewisser Grad an Sicherheit schadet den Programmen sicher nicht. Ausserdem nutzt mir die Übung auch für kommende Projekte MfG Monk
__________________ Flash CS5 / Flex 3 / Flashdevelop / FB 4.6 |
|
| |
|
| Lesezeichen |
| Themen-Optionen | |
| Ansicht | |
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| [Flash CS3] PHP Variable in FLASH ausgeben ohne ECHO | Spanky11 | Flash Einsteiger | 5 | 02-03-2010 23:40 |
| [Flash CS4] PHP echo an Flash | Golden-Sun | Flash Einsteiger | 14 | 14-04-2009 12:29 |
| per echo variable an flash | sanft | Flash und Datenbanken | 5 | 18-06-2008 15:02 |
| PHP Neuland: Echo bei Absenden aus Flash | Spawn78 | PHP und MySQL | 4 | 04-10-2004 09:49 |
| php variablen an flash (echo) | method5 | ActionScript 1 | 1 | 07-08-2001 12:40 |
|
Linear-Darstellung
