tas2580
Blog über Webentwicklung und Linux Server

Kategorie: Sicherheit

Artikel zum Thema Sicherheit von Webseiten, Servern oder allgemein Sicherheit in der IT-Welt.

Datenbankdaten in Backups der Config-Dateien

tas2580  

Wer eine Webseite mit Datenbankanbindung betreibt kennt ja sicher die "config.php" in der die Zugangsdaten zur Datenbank stehen. Normalerweise ist das auch kein Problem da PHP-Dateien vom Webserver ausgeführt werden und so ihr Inhalt nicht sichtbar ist. Es gibt aber einige Editoren die beim bearbeiten von Dateien Backups anlegen, so wird wenn man die config.php bearbeitet automatisch eine config.bak vom Editor angelegt. Wenn man beim hoch laden der Webseite nicht aufpasst oder seine Webseite direkt auf dem Server bearbeitet kann es passieren das die config.bak auf dem Server landet und so von jedem die Datenbankdaten gesehen werden können da eine .bak Datei vom Webserver nicht ausgeführt sondern in Klartext ausgeliefert wird.

HTTPS für die eigene Webseite

tas2580  

Normalerweise geht die komplette Kommunikation mit Webseiten in Klartext übers Netz und kann so von jedem der mit in der Leitung hängt abgehört werden. Solange man nur Content liest ist das nicht weiter schlimm, sobald aber Login-Daten oder Bankdaten übertragen werden sollte man darauf achten das der Datentransfer verschlüsselt stattfindet. Banken und auch die meisten Onlineshops bieten mittlerweile HTTPS an, viele Blogs oder Foren tun das aber nicht, so können die Logindaten recht einfach mitgelesen werden. Außerdem wird mit HTTPS sichergestellt das der Server auch wirklich der ist für den er sich ausgibt. Damit man seine Webseite unter HTTPS anbieten kann benötigt man ein SSL-Zertifikat von einer anerkannten Zertifizierungsstelle. Man kann sich zwar auch selber ein SSL-Zertifikat erzeugen das dann aber im Browser zu einer Warnmeldung führt und Besucher eher abschreckt. Mit einem eigenen Zertifikat ist zwar die Datenübertragung verschlüsselt, es wird aber nicht sichergestellt das der Server auch wirklich der ist der er vorgibt zu sein. Das Problem ist das die Zertifizierungsstellen meistens recht hohe Gebühren für ihre Zertifikate verlangen, so übersteigen die Kosten für das Zertifikat schnell die Kosten für Webspace und Domain. In letzter Zeit hat sich da aber einiges geändert und mittlerweile ist es auch möglich ein Zertifikat das von fast allen Browsern akzeptiert wird kostenlos zu bekommen,

PGP Verschlüsselung mit PHP

tas2580  

Nach Snowden macht sich jetzt doch der ein oder andere Gedanken über E-Mail Verschlüsselung, ich verwende dazu schon länger PGP, nicht weil ich schon immer wusste das die NSA uns alle abhört sondern eher weil es da ist und ich gerne Sachen ausprobiere. Damit war ich lange Zeit alleine, da es den meisten in meinem Bekanntenkreis zu kompliziert ist PGP zu installieren, oder sie einfach zu faul sind sich damit zu beschäftigen. Seit Snowden hat sich das zwar ein bisschen gebessert und ich habe heute eine Hand voll Leute in meiner Kontaktliste die PGP verschlüsseln. Wenn ich aber so in meinen Posteingang schaue muss ich feststellen das die meisten Mails die ich bekomme nicht von meinen Bekannten kommen sondern automatisch generierte Mails von irgend welchen Webseiten bei denen ich mich mal angemeldet habe sind. Hier wäre es doch schön wenn diese Mails verschlüsselt wären, nicht weil da super Geheime Dinge drin stehen die bloß keiner lesen darf, sondern einfach um den Anteil verschlüsselter Mails zu erhöhen und damit der NSA das Leben schwer zu machen. Bei Mails die mir neue Passwörter zusenden wäre es dann sogar wirklich sinnvoll wenn die nicht in Klartext über das Netz gingen.

Chatten mit OTR Verschlüsselung

tas2580  

Jetzt wo wir wissen das die NSA sämtliche Kommunikation im Internet abhört sollte man sich Gedanken über Verschlüsselung machen. Für E-Mails bietet sich da sicher PGP an, für Instant Messaging halte ich OTR (Off-the-Record Messaging) für die bessere Wahl da es deutlich leichter einzurichten ist. Außerdem gibt es eine größere Auswahl an Instant Messaging Clients die OTR unterstützen.

Ob man über Google Talk, Facebook oder sonst einen Jabber Server chattet ist dabei egal, da der Jabber Dienst nur die Daten überträgt, verschlüsselt wird vor dem absenden und entschlüsselt wird erst wieder beim Empfang. Natürlich funktioniert das nicht über die Webseiten der Anbieter da die keine Ende zu Ende Verschlüsselung anbieten. Wenn man sich aber einen Instant Messaging Client installiert kann man dort alle seine Accounts einrichten und darüber dann verschlüsselt chatten.

Externe Ressourcen auf HTTPS Seiten ohne Warnung einbinden

tas2580  

Wenn man eine Webseite über HTTPS aufruft sollten auch alle eingebundenen Ressourcen über HTTPS eingebunden werden da der Browser sonst eine Warnung in der URL Leiste anzeigt oder die Ressource blockiert und gar nicht anzeigt. Leider ist es nicht immer möglich alle externen Ressourcen die man einbinden möchte auch über HTTPS zu bekommen. Mit einem kleinen Trick kann man aber trotzdem erreichen das es zu keiner Warnung kommt.