Hamradioboard

Quoted

Original von dl1nux
Mich würden deine Ergebnisse interessieren was die Sicherheit betrifft. Möchte evtl. umsteigen. Poste doch bitte hier was.

PHPKit ist eine Anwendung.. basierend auf PHP ( PHP 4.x.x? oder PHP 5.x.x ?)
und ist erst einmal genauso unsicher wie PHP selbst...
Dazu kommen die Fehler der Kit-Programmierer ( NULL Fehler gibt es nicht...)

Also nach wie vor das PHP-Sicherheitsproblem..
73
Fred
dl5ym

Quoted

Original von dl5ym
und ist erst einmal genauso unsicher wie PHP selbst...

Inwiefern bist du der Meinung, dass PHP unsicher sei?

Quoted

Original von DG5MM

Quoted

Original von dl5ym
und ist erst einmal genauso unsicher wie PHP selbst...

Inwiefern bist du der Meinung, dass PHP unsicher sei?

nun ..zumindest ist PHP unsicherer als z.B. Java (Java spielt im Sandkasten - zumindest ist so der Plan) während PHP im System spielt. Wenn das System nun
- permanent im Interent erreichbar ist
- PHP direkt mit dem Nutzer "redet"
..dann braucht der Automat nicht sehr lange! Übrigens ein bekanntes Problem mit Datenbankanwendungen im Internet.. der (Angriffs)Automat findet es raus.
Das PHP-Problem heisst ... es gibt nur *ein* PHP für alle Nutzer (auf dieser Maschine). Hätt jeder "sein's" wäre mir ja egal, ob der "Nachbar" mistig (= unsauber) progammiert hat!
Aber nicht jeder Webspacemieter kriegt seine eigene (virtuelle) Maschine...

Machst was in einer abgeschotteten Umgebung mit PHP ist es "Wurscht"...auch Webseitenpflege...wenn man am Ende nur die erzeugten Seiten per (s)ftp aus den Server schiebt.. dann passiert auch nix!

Letztlich ..PHP-Anwendungen gehören mit zu den am erfolgreichsten angegriffenen Webapplikationen...sagen die Internet-Security-Analysten ( von "Security-Verkäufern" mag ich da nicht reden... die kommen aus einer anderen Welt..)

73
Fred
dl5ym

Quoted

Original von dl5ym
Das PHP-Problem heisst ... es gibt nur *ein* PHP für alle Nutzer (auf dieser Maschine). Hätt jeder "sein's" wäre mir ja egal, ob der "Nachbar" mistig (= unsauber) progammiert hat!

Da ist der Knackpunkt: Nicht PHP ist von Haus aus unsicher sondern die (mangelhafte) Programmierweise des Autors. Wer sich der Risiken bewusst ist kann selbige relativ leicht umgehen.

Quoted

Original von dl5ym
Letztlich ..PHP-Anwendungen gehören mit zu den am erfolgreichsten angegriffenen Webapplikationen...sagen die Internet-Security-Analysten ( von "Security-Verkäufern" mag ich da nicht reden... die kommen aus einer anderen Welt..)

Das wird vor allem daran liegen dass PHP extrem oft verwendet wird. Aus der Tatsache, dass Mercedes und BMW in der Autoklaustatistik weit vorne liegen schließt schließlich auch keiner, dass diese Autos von Haus aus unsicher seien...

greetz,
Michael

Quoted

Original von DG5MM

Quoted

Original von dl5ym
Das PHP-Problem heisst ... es gibt nur *ein* PHP für alle Nutzer (auf dieser Maschine). Hätt jeder "sein's" wäre mir ja egal, ob der "Nachbar" mistig (= unsauber) progammiert hat!

Da ist der Knackpunkt: Nicht PHP ist von Haus aus unsicher sondern die (mangelhafte) Programmierweise des Autors. Wer sich der Risiken bewusst ist kann selbige relativ leicht umgehen.

wäre ja nicht tragisch, wen es nur den Autor trifft..so kann aber jeder Löcher in das Gesamtsystem reissen. Jeses System ist so unsicher, wie seine unsicherste Teilkomponente...
.,.und wenn du es dir leisten kannst, von Fehlern anderer zu profitieren ..ist das schon o.k.
(hängt eben auch vom Umfeld ab)

Quoted

Quoted

Original von dl5ym
Letztlich ..PHP-Anwendungen gehören mit zu den am erfolgreichsten angegriffenen Webapplikationen...sagen die Internet-Security-Analysten ( von "Security-Verkäufern" mag ich da nicht reden... die kommen aus einer anderen Welt..)

Das wird vor allem daran liegen dass PHP extrem oft verwendet wird. Aus der Tatsache, dass Mercedes und BMW in der Autoklaustatistik weit vorne liegen schließt schließlich auch keiner, dass diese Autos von Haus aus unsicher seien...

greetz,
Michael

hmm ..was vergleichst du ?
Derzeit hast du eben bei PHP mir die grössten Chancen .. erst recht, wenn du "fertige Angriffskit's" verwendest..

73
Fred

Hallo Attila,
jetzt frage mal den Provider, ob bei einem Passwort, das aus 128 Zeichen besteht, diese auch berücksichtigt werden. Viele schneiden den Rest ab und dann ist es "SICHER". :laugh:

Vy 73 de Gerhard

Quoted

Original von dl1nux
Der Provider der entsprechenden Homepage hat ENDLICH nach über einer Woche reagiert, hier die Mail:

Hallo ...,

leider ist es in den vergangenen Tagen sehr haeufig vorgekommen das diverse FTP-Zugaenge gehackt worden sind. Es sind zwar nicht alle Zugaenge davon betroffen, jedoch eine beunruhigend grosse Anzahl.
.......................

Jetzt ist also klar wie die Dateien manipuliert wurden.

73 de dl1nux

Ja wie denn nun ????
Meinst Du ernsthaft, der Provider schreibt "unsere Server wurden von anderen übernommen..." ??
Was aber passiert ist...das Problem ist, dass keiner wirklich weiss, wieviele Userpasswörter verändert worden sind..

Du glaubst doch nicht ernsthaft, das die FTP-Passwörter durch "probieren" ausgeschnüffelt worden sind ?!
Beliebig viele Fehlanmeldungen OHNE Sperre..wer macht den solch primitive Fehler ? (ich weiss, geben tut es auch solche...)
Und wenn du bei einem einigermassen ordentlichen Server einen FTP-Account hast - egal ob per Crack oder legal - solltest Du auch an die andern nicht herankommen dürfen. Das darf eigentlich (!) nicht gehen.

Vermutlich also eher etwas schlampig konfiguriert das Ganze..oder fehlende/schlampige Wartung (d.h. Patches für bekannte Probleme nicht eingespielt).

Der Rest ist z.B. bei www.heise.de auch als Auszug zu finden und an einigen anderen Stellen.
Letztlich klappt es nur, wenn du dir auf den Maschinen Systemverwaltungsrechte verschaffen kannst (wie auch immer das geschieht). Der Serverbetreiber kann selten "nachstellen" ob Passworte "korrumpiert" sind .. also gibt es alles neu.

@Attila: die Begründungen müssen nicht der Wahrheit entsprechen - sie müssen nur glaubwürdig sein!

Das ist auch in anderen Lebensbereichen so....die Leute wollen daran glauben - es verstehen zu können.

Politiker.... Elektrosmog-gegener...(als Beispiel für "glaubwürdigen Unsinn.." )und viele mehr


73
Fred
dl5ym

Also mal zur Aufklärung:

Es wurden keine FTP-Passwörter "ausprobiert" sondern die von den betroffenen Providern eingesetzte FTP-Software hatte ein Sicherheitsloch. Dieses Loch wurde "gestopft" und nun ist wieder alles dicht. Bei meinem Provider wurden sicherheitshalber alle FTP-Passwörter neu definiert (reine Vorsichtsmaßnahme, weil man nicht weis, ob nicht doch irgend welche FTP-Passwörter "gekrackt" wurden).

Ich hoffe etwas zur Aufklärung beigetragen zu haben.