Beiträge von olkostbe

    Hallo beisammen,


    nach langer Zeit bin ich mal wieder hier. Ich habe einen Ausflug in die Hardware (Arduino, ESP8266 und ein kleines bischen RasPi) gemacht und komme über die Hintertür wieder in die Thematik hier im Forum.


    Meine Frage: Hat jemand hier Erfahrung zu "ngrok"?

    Google hat mir hier bis jetzt nicht so sonderlich geholften. Vor- und Nachteile wären nicht schlecht.


    Danke für Kommentare


    olkostbe

    Danke cotton, der computerphil erklärt das richtig gut!


    Nur zum Verständnis zu Deinem Beispiel mit "deine-bank.de" eine Frage:


    Wenn der Codierer der Bank einen token reinprogrammiert HÄTTE, würde also Dein Link "https...deine-bank.de/geld/senden?an=cottton&wieviel=1000" auch nicht funktionieren. Richtig?


    In diesem Fall dann eine Anwendungstechnische Frage: Woher erkenne ich als Anwender eigentlich, dass eine HP - Anwendung mit token abgesichert ist?


    olkostbe

    Hallo beisammen,


    bin leider nicht mehr so oft im Forum (private Gründe). Aber letztens ist mir der Begriff CSRF (Cross-Site-Request-Forgery) untergekommen.

    Bin in Google und habe versucht zu verstehen, wie so was funktioniert (bitte nicht falsch verstehen: Nicht wie ich es als Hacker codiere, sonder wie das Grundprinzip abläuft)


    Wikipedia hat da als erstes eine Erläuterung, aber...... ich verstehe immer nur Bahnhof:

    .......CSRF ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Dies geschieht nicht direkt, sondern der Angreifer bedient sich dazu eines Opfers, das bei einer Webanwendung bereits angemeldet sein muss. Dem Webbrowser des Opfers wird ohne dessen Wissen eine arglistige HTTP-Anfrage untergeschoben. Der Angreifer wählt die Anfrage so, dass bei deren Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt........


    Kann mir jemand im Forum das mal in einfacheren Worten vielleicht auch mit Beispielen für 'nen Anfänger erläutern?


    Danke schon mal im Voraus und Sorry für so 'ne Frage an die Profis.


    olkostbe

    Hallo beisammen,


    weiß jetzt nicht, ob das in Javascript rein muss oder hier. Bitte daher um Nachsicht:


    Ich habe mal ein wenig in JS gespielt und einen einfachen Countdown zusammengeschustert, der mir soweit gefällt:


    So weit so gut. Ergebnis ist zumindest richtig. Somit ist Javascript kein Problem.


    Aber warum zum Teufel sind das dann 3 Zeilen? Es soll doch alles in einr Zeile stehen.

    Ich denke das liegt am HTML und ich steh mal wieder auf dem Schlauch.

    Vermutlich bin ich wieder in einer "Gedankenschlange" und die Experten hier werden sich krumm lachen.


    Trotzdem danke


    olkostbe

    Hi Arne,


    Dein link ist echt informativ. Danke. Zeigt auch, wie einfach man die Richtlinie aushebeln kann. War mir in der Form noch nicht so klar.

    Dass die robots.txt nur eine Richtlinie ist, ist mir nun klar. Wer sich nicht daran hält; - der ist für mich einfach mal grundsätzlich nicht seriös (nur meine private Meinung).


    Vielleicht sollte ich mich in der Fragestellung konkretisieren:

    - Der Honigtopf, den ich da setzten wollte, sollte als Konsequenz mit einer Sperrung der krabbelnden IP in der .htacess Datei enden (somit zukünftig keinen Zugriff auf meine Seite haben) und mich zusätzlich darüber informieren. Hier einen link: Webcrawler aussperren, die robot.txt ignorieren, der sowas mal anspricht.

    - Der link ist aber für mich nur als Idee gedacht. In der reinen Form wie dort dargestellt, hatte ich es nicht vor. Lasse mich aber von den Experten hier im Forum gerne auf den Boden der Tatsachen (Machbarkeit und Realität) runterbringen.


    Grüße


    olkostbe

    Hallo,


    Danke für die Kommentare. Die Ideen hier fand ich ganz interessant. Die Formularfelder, die ich bisher erstellt habe, habe ich (neben den üblichen Eingabeüberprüfungen der User) eher mit einer zufälligen Rechenaufgabe garniert und nicht mit einem Honigtopf. Daher waren die Anregungen hier ganz interessant. Werde ich vielleicht mal beim nächsten Mal überdenken.


    Die eigentliche Frage von oben, - den Honigtopf anzuwenden bei "Krabbeleien" in den Verzeichnissen, obwohl das in der robots.txt ausdrücklich nicht gewünscht ist, - hat noch keiner kommentiert.


    olkostbe

    Hallo,


    ich habe gelesen, dass man über eine Honigtopf - Falle eventuelle spider Programme daran hindern kann, durch das Verzeichnis zu krabbeln, auch wenn man in der robot.txt das ausdrücklich unterbinden will.


    Hat jemand damit Erfahrung und könnte er das mal kommentieren (Vor- und Nachteile)?


    Danke


    olksotbe

    Danke!


    Und um ganz ehrlich zu sein: Neben dem [0], welches ich übersehen habe, habe ich auch noch die Variable versehentlich falsch geschrieben $fehlersmeldung!! (auch gerade erst gesehen!:(; - mein Gott wie doof ist das denn!).


    Danke nochmals Sempervivum! Hätte ich nur früher mal gefragt. Jetzt klappt es wie ich es möchte!


    Schönen Abend!


    olkostbe

    Bin gerade an einem Punkt an dem ich nicht weiterkomme und vermutlich ist es zu spät, da mich Google nicht sonderlich zur Lösung führt. Bitte daher um Entschuldigung.


    Folgendes Array auf Variable $blabla:

    [feedback] => Array

    (

    [state_code] => 300

    [errors] => Array

    ( [0] => Array

    (

    [error_msg] => Username already exist!

    [error_code] => 313

    )

    )

    )


    Mit der Zeile: $statusmeldung = $blabla['feedback']['state_code'];

    hat soweit alles funktioniert. und der Wert von $statusmeldung ist wie oben angezeigt 300.


    Aber wie bekomme ich den Inhalt der [error_msg] in eine Variable, sagen wir $fehlermeldung?


    Vermutlich für die Experten hier ein kurzes Kopfschütteln und die Lösung ist auf Papier, - ich schlage mich jetzt schon fast 3 Stunden damit rum (wegen so einer besch.... Kleinigkeit).


    Danke


    olkostbe

    Hallo beisammen,


    bin noch beim Einlesen in das Thema Hashen mit Salz und Pfeffer. Inzwischen ist mir diese unbedingte Anwendung, bei einer Datenbankverwendung mit Einloggen, ein Muss ist, eindeutig klar. Ich bin hier noch am Lernen und Begreifen bei den Feinheiten. Das Tutorial (von Wolf) hier ist schon anspruchsvoll, aber nachvollziehbar.


    Trotzdem noch eine Frage zur reinen PHP Anwendung (oder .htaccess): Muss ich hier auch Hashen mit Salz und Pfeffer?

    Wenn ich es richtig verstehe, dann müßte der Angreifer grundsätzlich Zugriff auf den Code vom Webspace haben, um dann seinen Schabernak treiben zu können. Dann hat er aber auch grundsätzlich Zugriff auf den Hash mit Salz und Pfeffer. -- Oder bin ich da komplett auf dem Holzweg?


    Nur ein paar Gedanken von einem Anfänger.


    Grüße olkostbe

    Hi,


    bin nicht der Experte hier im Forum; - bin aber überzeugt, dass php für so was ein MUSS ist, wahrscheinlich sogar mit Datenbank.

    Zumindest wenn Du so was machen möchtest, wie Du in dem Link angezeigt hast.

    Javascript wird so was eher abrunden, je nachdem was Du dann machen möchtest.

    Ich gehe allerdings davon aus, dass HTML und CSS soweit sattelfest bei Dir ist.


    Grüße


    olkostbe

    Hallo an die Experten,


    ich versuche mich langsam an das Thema Webseitenschutz heranzutasten und habe schon sehr oberflächlich (und natürlich sehr amateurhaft) mit dem ein oder anderen Versuch (auch aus der Axel DVD) schon am an dem Thema gekratzt.


    Ganz offensichtlich ist das Thema vielschichtig und deswegen habe ich mir gedacht, dass ich vielleicht hier die Experten frage, um nicht in eine falsche Richtung beim "Erlernen" zu marschieren.


    Folgende Situation habe ich aus dem Netz:


    1. Absicherung durch die .htaccess Datei:

    Dies habe ich im Netz gelesen:
    "Mit einer .htaccess Datei und einer .htpasswd Passwort-Datei lassen sich bestimmte Verzeichnisse und die darin enthaltenen Dateien (bei einem Apache-Webserver (Unix)) vor unerlaubtem Zugriff schützen."


    2. Absicherung nur durch php:

    Hier scheint es so zu sein, dass man dies ohne eine Datenbank den Zugriff steuern kann (siehe auch Axels DVD).


    3. Absicherung durch php in Kombination mit Datenbank (z.B. MYSQLi)

    Wenn ich das richtig verstehe hat man hier vermutlich mehr Möglichkeiten als unter 2.) aber muss diese auch deutlich besser absichern in der Codierung.


    In allen 3 Fällen scheint es notwendig zu sein zu "crypten". Ein Bereich, den ich noch gar nicht abgedeckt habe.


    Nun zu meinen Fragen:

    a.) Wie würdet Ihr das Thema angehen.

    b.) Welche Variante hat welche Vor- oder Nachteile?


    Danke für Kommentare der Spezialisten.


    Grüße


    olkostbe