Archive for März, 2012
Local File Inclusion: Einige Beispiele
Ich habe schon länger keine sicherheitsrelevanten Probleme mehr gepostet, heute schauen wir uns ein paar häufig gemachte und exisierende Fehler an. Schaut euch diesen Code-Schnipsel an:
<? $url = $_POST['imageUrl']; $content = file_get_contents($url); // Put the content of that URL into a database for later use/display
Der Benutzer der Webseite kann also in ein Formular eine URL eintippen, beispielsweise die URL eines Bildes, einer XML-Datei oder einer Webseite. Das Script ruft diese Resource (z.B. ein Avatar Bildchen) ab und speichert es auf der Festplatte oder in einer Datenbank.
Auf einer anderen Seite kann der Benutzer (und vielleicht alle anderen Besucher der Webseite) dieses Bild dann abrufen.
Gibt es hier ein Sicherheitsloch? Ja, gleich mehrere! Was passiert wenn der Benutzer zum Beispiel folgende URLs eingibt:
Slides der PHP UK Conference 2012
Und wieder ist eine hochkarätige PHP Konferenz zu Ende gegangen, die PHP UK Conference 2012 in London im Business Design Centre. Hier eine Übersicht der Talks und der Präsentationen:
24. Februar 2012
Opening Address
Ciaran Rooney
PHP in 2012
Rasmus Lerdorf
Powering Your Website with Realtime Data
Bert Van Hauwaert
The Journey towards Continuous Integration
Sebastian Marek
2-Faktor-Authentifizierung mit dem Google Authenticator
Viele größere Webdienste bieten mittlerweile die 2-Faktor-Authentifizierung an, PayPal, Amazon, Facebook und nicht zuletzt Google. Mit der 2-Faktor-Authentifizierung muss neben dem Benutzernamen und Passwort auch noch ein Einmal-Passwort, ein sogenanntes One-Time-Token eingegeben werden, das von einem Gerät unabhängig vom PC generiert wird und nur einmal gültig ist. Sollte es also jemand schaffen und das Passwort erraten oder mitschneiden, hilft es dem Angreifer wenig denn er muss auch noch Zugriff auf das Hardwaregerät bekommen, und das sollte schwierig sein.
Die Generierung von solchen Codes ist nicht sonderlich schwer, beide Parteien (das Gerät und die Webseite) müssen nur ein gemeinsames „shared secret“ kennen (auch Seed genannt), und aufbauend auf diesem dann sich immer ändernde Codes generieren können. Dazu gibt es RFCs, beispielsweise RFC 4226.
Linkpool Nummer 28
Einige Links zur Lektüre am Wochenende:
Die verschiedenen Möglichkeiten des Packaging, unter anderem PEAR, frameworkeigene Lösungen und Composer:
Sehr schöner Artikel zum Localstorage und der aktuellen Diskussion dass man ihn nicht benutzen soll aus Performancegründen:
Erklärung zur aktuellen Diskussion zu Scalaren Typehints, und warum das eine schwere Aufgabe ist:
Ein umfangreicher Artikel über die Neuerungen in PHP 5.4:
5 Möglichkeiten bzw. Design Pattern, um in PHP-Projekten eine Plugin-Struktur aufzubauen:
Ein deutscher Podcast von Mayflower, erste Ausgabe. Bin sehr gespannt ob es noch weitere Folgen gibt!
Kostenloses E-Book von IBM zu IPv6:
Passworte/Strings untersuchen: Links- oder Rechtshänder?
Mich interessierte kürzlich ob die Wahl des Passwortes davon abhängt ob man Rechts- oder Linkshänder ist, oder ob es einfach nur davon abhängt wo die am häufigsten genutzten Buchstaben auf der Tastatur liegen. Dazu habe ich mir ein kleines Script gebaut dass zu einem gegebenen String ausrechnet welche Finger bzw. welche Hand für das Tippen benutzt werden.
Dabei gibt es jedoch einige Annahmen die nicht immer auf alle Personen zutreffen. Ich teile die Tastatur exakt in 2 Hälften, es gibt jedoch viele Leute die die Tastatur anders aufteilen, oder gar nicht (alles mit dem rechten Zeigefinger ;-)) Des weiteren habe ich Großbuchstaben nicht mit beachtet da ich nicht genau weiß wie da die gängige Vorgehensweise ist. Nutzt ihr immer die linke Shift-Taste, oder wovon hängt es ab welche der beiden ihr nutzt? Ich habe es erstmal rausgelassen.
