Häufig gestellte Fragen (FAQ)

Thema Sicherheit

• Das Zugangspasswort für die Datenbank wird in Freitext abgelegt und die entsprechende Datei (z.B. connect.php) bekommt Lesezugriff. Kann jetzt jeder meine Passwörter einsehen ?
  
  Bei korrekter Konfiguration des Servers werden die entsprechenden Dateitypen (in diesem Fall .php) einem Modul zugewiesen, welches für diesen Dateityp zuständig ist. Für den Apache Webserver sieht der entsprechende Konfigurationsabschnitt z.B. folgendermaßen aus:
  
  Konfiguration bis Apache 1.3 :

  LoadModule php4_module libexec/apache/libphp4.so
  AddModule mod_php4.c
  AddType application/x-httpd-php .php
  

  Konfiguration ab Apache 2.0 :

  LoadModule php4_module modules/libphp4.so
  #
  # Cause the PHP interpreter handle files with a .php extension.
  #
  <Files *.php>
          SetOutputFilter PHP
          SetInputFilter PHP
          LimitRequestBody 524288
  </Files>
  

  Jede .php Datei wird also NICHT direkt zum Webbrowser geschickt, sondern zunächst von dem PHP Modul interpretiert. Da Benutzername und Passwort im Programmteil der PHP Datei Variablen zugewiesen werden, werden diese NICHT an den Browser geschickt. Sie können dieses testen, indem Sie in Ihrem Browser den direkten Pfad zu der connect.php eingeben:

  http://pfad zum Skript/include/connect.php

  Damit ist ein Zugriff über das HTTP Protokoll auf die Passwörter nicht möglich.
  Wenn Sie allerdings anderen Benutzern Zugriff über FTP auf Ihr Webverzeichnis geben, können diese das Passwort einsehen. Hier ist es sinnvoll, die entsprechenden Ordner der Installation mit anderen FTP Rechten auszustatten, falls die Vertrauensstellung zu den FTP Benutzern nicht ausreichen sollte. Das Gleiche gilt für lokale Benutzer des Servers, die sich z.B. über Telnet oder SSH einwählen.
  Alle oben genannten Punkte treffen auch entsprechend auf die Konfiguration der ASP Variante zu. Hier sollte beachtet werden, dass der Webserver mit den letzten Securitypatches von Microsoft ausgestattet ist !
  
  Weiterführende Links:
  Konfiguration Apache Webserver
  Artikel über Sicherheit im Microsoft Internet Information Server
  
  Neben der Webserverkonfiguration läßt sich die Sicherheit auch dadurch enorm erhöhen, indem dem Datenbankbenutzer, dessen Passwörter in Freitext abgelegt werden, nur LESENDE Rechte auf die benötigten Tabellen eingerichtet werden.
  
  BBPro und DIPF/deutscher Bildungsserver können keine Haftung für falsche Server- oder Rechtekonfigurationen übernehmen.
  
  
• Das Importskript liegt in einem öffentlichen Verzeichnis des Webservers. Ein Angreifer könnte dieses Skript böswillig sehr häufig aufrufen und damit eine hohe Last auf dem Server erzeugen.
  
  Ihnen steht es frei, das entsprechende Verzeichnis mit Hilfe von "HTTP Basic Authentication" mit einem Benutzernamen und Passwort zu versehen. Wenn Sie diesen Benutzerzugang nur dem InfoWeb Team mitteilen, können diese Angriffe weitgehend ausgeschlossen werden.
  
  Weiterführende Links:
  Ultimate .htaccess Guide
  Internet Information Services 5.0 Authentication Methods