PHPler lernt daraus

Wie schon öfter erwähnt, hatte auch ct schon mal Berichte, wie Kombination vermeintlich kleiner Sicherheitslücken das ganze System öffneten.

Eine kleine Lücke in Eurer PHP-Implementierung oder ZEND. Eine kleine Lücke in Eurem Script oder gekauften Libraries. Und schwupp sind die Kreditkarten-Daten Eurer Kunden und alle Eure Verkäufe und Kalkulationen und Kunden-Listen und was sie gekauft haben in den Händen Eurer Konkurrenten.

Und PHP hat so häufig Lücken und Fehler, das man kein Auto darauf abstellen würde. Auch nicht wenn es ein VOLVO wäre, die als sehr sicher gelten.

ach hör doch auf ...

Dafür sind aber andere "Hochsprachen" sicher ? Es kommt immer auf den Entwickler drauf an. .... man man man..

Dateiserver schrieb:
--------------------------------------------------------------------------------
> Und PHP hat so häufig Lücken und Fehler, das man kein Auto darauf abstellen würde

Nun, mancheines Menschen Rechtschreibung hat ebenso recht deutliche Fehler und Lücken. Es liegt also nicht an der Sprache, sondern meist an der Person, die sich der Sprache bedient.

Aber das nur am Rande. Ich bin mit PHP nur sehr allgemein vertraut und würde gerne wissen welche Lücken und Fehler PHP konkret hat? Was muss an PHP verbessert werden?

du bist lustig. darf man dich mieten?

Das einzige, was man PHP vorwerfen kann, ist, dass es solche Programmierschwächen zulässt. Aber ne 100% deppensichere Software wird's wohl nie geben.

><o(((°>

Kreditkarten-Daten speichern ist nicht erlaubt.
Kreditkartendaten dürfen nur zur Abwicklung des Bezahlvorganges an die Clearingstelle übermittelt werden. Weiteres Speichern, Verwenden, Weiterleiten o.ä. ist nicht gestattet.

Aber du Doppelnull wirst eh nie in die Verlegenheit kommen, so etwas mal programmieren zu müssen.

Wie funktioniert dann dieser komische Dienst, der hier letztens vorgestellt wurde? Dieses Pippi oder wie das hieß?

Das ist so nicht ganz korrekt. Die Kreditkartendaten dürfen nicht UNVERSCHLÜSSELT gespeichert werden, und der Schlüssel muss natürlich entsprechend sicher gespeichert werden (also u.A. nicht in einer von anderen Usern desselben Servers lesbaren Datei und schon gar nicht in einer übers Web erreichbaren Config-Datei etc.).

Was auf keinen Fall gespeichert werden darf, ist die Kartenprüfnummer (CVC/CVV).

Obwohl viele Zahlungsdienstleister inzwischen die Kartendaten bei sich speichern und ihren Kunden für Folgezahlungen eine entsprechende Referenz/ID/Hash o.Ä. zurückgeben, ist das noch nicht bei allen durchgehend implementiert, und wenn jemand z.B. Abos abrechnen will oder dem Kunden nicht zumuten will, jedes Mal seine Kartennummer angebene zu müssen, der kommt um eine Speicherung von Kartennummer und Ablaufdatum derzeit nicht herum.

Und man kann durchaus auch für eine PHP-Applikation eine PCI-Zertifizierung erhalten.

Metapeter schrieb:
--------------------------------------------------------------------------------
> Dateiserver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Und PHP hat so häufig Lücken und Fehler, das man kein Auto darauf
> abstellen würde
>
> Nun, mancheines Menschen Rechtschreibung hat ebenso recht deutliche Fehler
> und Lücken. Es liegt also nicht an der Sprache, sondern meist an der
> Person, die sich der Sprache bedient.
>
> Aber das nur am Rande. Ich bin mit PHP nur sehr allgemein vertraut und
> würde gerne wissen welche Lücken und Fehler PHP konkret hat? Was muss an
> PHP verbessert werden?


Naja, die wohl bekannteste ist SQL-Injection.
Dies geht aber nur, wenn man mit ner SQL-Datenbank arbeitet, was wohl sogut wie immer bei PHP der Fall ist ;)

SQL Injection ist eine PHP Lücke !?

Das is ja mal interessant.

Kennst du eigentlich den Unterschied zwischen dem Gaspedal und der Bremse?

> Naja, die wohl bekannteste ist SQL-Injection.
> Dies geht aber nur, wenn man mit ner SQL-Datenbank arbeitet, was wohl sogut
> wie immer bei PHP der Fall ist ;)


SQL Datenbank >> rofl, ich lieg echt am Boden.
SQL ist die Sprache um Daten aus einem Datenbankmanagementsystem abzufragen, mit Sicherheit ist es keine Datenbank.

Und das man in Applikationen mit Datenbanken arbeitet, crazy, hätte ich nicht gedacht.

PHP hat viele Vorteile.
Der einzige Nachteil ist, dass jeder nach 2 Zeilen Code denkt er könnte programmieren.

aber alssen wir ihn doch trollen.

Vielelicht das interaktive Webseiten nur mit PHP erstellbar sind oder wie kommt er zu der VErbindung Microsoft Explorer und PHP?

Von Microsoft gibbet doch nur ASP:)

Supermax schrieb:
--------------------------------------------------------------------------------
> Das ist so nicht ganz korrekt. Die Kreditkartendaten dürfen nicht
> UNVERSCHLÜSSELT gespeichert werden, und der Schlüssel muss natürlich
> entsprechend sicher gespeichert werden (also u.A. nicht in einer von
> anderen Usern desselben Servers lesbaren Datei und schon gar nicht in einer
> übers Web erreichbaren Config-Datei etc.).

Hihi, das erinnert mich an einen Müllhaufen von Code den wir von indischen "Entwicklern" übernommen haben auf Kundenwunsch hin zwecks Refakturierung: Die CC Daten lagen schön lesbar, plain
Text im webroot. ;)

Hi,

wie bereits von jemand anders erwähnt, kann man das nicht rein auf PHP zurückführen. Sicherheitslücken in Webapplikationen sind überall vorzufinden, ob mit PHP, Java, C++ oder Perl.

Meist entstehen die Fehler doch aufgrund der Nachlässigkeit und Faulheit des Entwicklers selbst. Denn wer hat sich beim programmieren nicht schon gedacht: "Och ne.. das jetzt 4x überprüfen... das wird der schon richtig eingeben."

Soviel nur zur Sicherheit. Nur was ich wie randyandy nicht verstehe: Was hat das mit dem Internet Explorer am Hut?

Interaktive Webseiten nur mit PHP?
Du weisst aber schon, dass annähernd ein gutes Dutzend Sprachen dazu zur Verfügung stehen?