Lansuite CMS - News - Sicherheit in Lansuite

Noticias + comentarios

Puede comentar esta noticia

Sicherheit in Lansuite

KnoX , Donnerstag, 27.11.2008 10:54

Ich habe gestern und heute einen Text über Sicherheit in Webapplikationen, speziell in Lansuite geschrieben.
Dieser ist vor allem für diejenigen interesant, die mit Code für Lansuite schreiben.

http://knol.google.com/k/jochen-jung/securing-php-web-applications/kudg1x702urr/8#

Speziell durch die Änderungen zur Version 3.9 ist in Lansuite vielen in Richtung die Sicherheit verbessert worden. Damit das auch weiterhin so bleibt, wäre es schön, wenn sich jeder Programmierer an diese Regeln hält. Die meisten davon sind denke ich selbstverstäbdlich. Aber es sind auch Lösungen zu Angriffstechniken gelistet, von denen ich selbst erst vor kurzem gehört habe. Wie z.b. HTTP Responsoe Splitting.

Wenn ich dort Techniken vergessen habe, könnt ihr sie gerne in den Kommentaren ergänzen.

Vista general

Kommentare


nTE 05.12.2008 10:19	Generell würde ich empfehlen eine Rechtschreibkorrektur über deine Artikel laufen zu lassen. Du hast da einige Wörter die du grundsätzlich falsch schreibst (z. B. realy) oder Sprachkonstrukte wie "to help the write secure code", was aber eventuell auf Unkonzentriertheit zurückzuführen ist. Ich finde ein (halbwegs) wissenschaftlicher Artikel verliert stark an Glaubwürdigkeit, wenn er voll von Fehlern sprachlicher Natur ist. Bezüglich NoHTML muss ich sagen, dass ich es wesentlich besser finde, wenn das Escapen bzw. Umwandeln erst im Template passiert, eben da wo es gebraucht wird. Ist z. B. so bei eZ Components - Template. Außerdem macht NoHTML wohl nichts anderes als htmlspecialchars nur langsamer (weil's in PHP und nicht in C passiert) und schlechter (weil nicht auf den Zeichensatz eingegangen wird). Prinzipiell finde ich es aber eine gute Idee vor allem die Lansuite-Programmierer bei solchen Problemen an die Hand zu nehmen und ihnen Best Practices vorzustellen. Da Lansuite aber hauptsächlich in Deutschland verwendet wird, sollte es auch (zusätzlich) einen Artikel in Deutsch geben. Lust auf Lanparty in Berlin? Dann www.lanparty-berlin.org.
KnoX 05.12.2008 13:44	Danke für die Kritik. Das mit den Rechtschreibfehlern werde ich mir noch ansehen. Will den Artikel ohnehin noch erweitern / ausbauen. NoHTML Performance: Falsch, ich kann dir nicht sagen warum, aber die Funktion ist performanter, als htmlspecialchars(). Das war der Grund, warum ich eine eigene verwende. Ich denke weil sie weniger Ersetzungen vornimmt. Aber das mit dem Zeichensatz könnte wirklich ein Problem darstellen. NoHTML Position: Gebe dir Recht, dass es bei der Ausgabe besser wäre. Problem ist nur, dass es sich hier nicht zentral steuern lässt. Müsste ich aber nochmal überdenken. Wenn komplett auf Smarty umgestellt ist, müsste ich glaueb ich nur das smarty->assign() umschreiben. Das wäre dann in der Tat eine verbesserung. Vor allem auch hinsichtlich der Performance. http://www.orgapage.net - Infoseite für LanParty-Orgas [Equipmentliste \| Strom-/Netzplanung \| Intranetsysteme \| Game- und Dienste-Servertipps]

Entradas de 1%

Hinweis:
Bitte loggen Sie sich ein, bevor Sie einen Kommentar verfassen

E-Mail / LS-ID
Passwort
[SSL Login]