O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

1 Einleitung4
Administratoren nur selten selbst sicherheitskritische Änderungen
durchführen. Um Schaden abzuwenden, müssen also die Webserver so
konfiguriert werden, dass ein Angreifer auch ein sehr unsicheres Skript
nicht für seine Zwecke missbrauchen kann – der Webserver muss
gegen Angriffe abgehärtet (»hardened«) werden.
1.2 Was ist Sicherheit?
In der IT existiert ein geflügelter Spruch, der besagt, dass Daten erst
dann sicher seien, wenn sie in einem Safe an einer unbekannten Stelle
auf dem Meeresboden versenkt würden. So übertrieben das auch klin-
gen mag, dieses Sprichwort enthält einen Funken Wahrheit. Absolute
Sicherheit kann (ohne Tresore und Tiefsee-Lagerung in Betracht zu zie-
hen) nicht erzielt werden, alle Bemühungen müssen stets als »best
effort« gelten.
Eine sinnvolle Definition des Sicherheitsbegriffes kann stets nur
kontextbezogen gefunden werden. Institutionen wie Finanz- oder Mel-
deämter, die mit hoch- und höchstvertraulichen Daten zu tun haben,
werden unter Sicherheit etwas völlig anderes verstehen als jemand, der
auf seiner privaten Homepage in einem einfachen CMS Bilder seines
Goldfisches ausstellt. Daher kann man die Sicherheit von webbasierten
Systemen (um die es in diesem Buch letztlich gehen soll) folgenderma-
ßen umschreiben:
Ein System kann als sicher gelten, wenn die Kosten für einen
erfolgreichen Angriff den möglichen Nutzen übersteigen.
Cracker und sonstige böse Buben verfügen nämlich nicht über unbe-
grenzte Zeit und Mittel. Die erste Gruppe von Angreifern, »Scriptkid-
dies«, rekrutiert sich überwiegend aus Jugendlichen und jungen
Erwachsenen mit wenigen oder keinen Fachkenntnissen. Das typische
Scriptkiddy verfügt über eine gut sortierte Bibliothek vorgefertigter
Angriffstools für viele verschiedene Lücken und sucht sich seine Opfer
meist anhand vorhandener Lücken aus. Derartige Angreifer werden
sich vor allem leichte Ziele aussuchen, die gleichzeitig vielverspre-
chende Möglichkeiten bieten. Ein Webserver, der schnell ans Internet
angebunden ist und auf dem eine uralte Version des Forums phpBB
verwendet wird, ist verlockende Beute für Scriptkiddies. Er ist leicht zu
»knacken« und kann dann als Ablageplatz für Raubkopien oder als
Relay, also Zwischenstation, für weitere Angriffe missbraucht werden.
Ist aber die verwendete Software auf dem neuesten Stand oder
auch recht unbekannt, wird mehr Aufwand notwendig, um in den Ser-
ver einzudringen – ein Einbruch lohnt sich oft nicht mehr und die meis-

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required