Hallo,

bei mir im Board versuchen Gäste, auf die usercp.php zuzugreifen. Wie kann ich für alle vB-Seiten die Option "Quelltext anzeigen" deaktivieren? Nur so können die auf den Bolzen mit der usercp.php gekommen sein...

TIA und Gruß,

adusei

..ok, fürchte, es hat sich erledigt:


http://www.vbulletin-germany.com/forum/showthread.php?t=5413&highlight=quelltext+anzeigen

Vielleicht kann aber einmal jemand von den Profis sagen, wieviel der Quelltext einem potentiellen Angreifer bei vB bringen kann - vielleicht kann mich ja jemand beruhigen...

TIA + Gruß von

adusei

du kannst es nicht deaktivieren

egal was du machst
man kann mit javascript rechtemaustaste deaktivieren
da geht man über navigation oben im browser und schaut sich alles an

oder man deaktiviert kurz javascript

quelltext ist hilfreich und gefährlich zugleich

wenn eine anwendung ordentlich programmiert ist, hat man nix zu befürchten
es gibt aber manche experten die lassen bei einem script als hidden variablen z.B userpasswörter/userids und sonstiege sensieble daten

noch schlimmer wenn diese nicht mal überprüft werden...
auch auf "GET/POST" würde ich mich nicht verlassen, das kann man z.B mit FF schnell umtauschen und aus GET-> POST request machen, sehr nützlich ist ( für debuging ) webdeveloper plugin ;)

quelltext kann dir aber helfen einige fehler zu finden ( meistens was templates angeht )

Herzlichen Dank für die ausführliche Antwort.


Wie ist denn vB einzuschätzen bzgl. des Quellcodes - ist das ordentlich gemacht, also sicher?

Fragt mit Gruß

adusei

Da das bei allen systemen so sit das man den quellcode sehen kann, würde ich das als nicht so risko reich einschätzen

@MetroMan:

Ich bin kein Experte; aber die Antwort, dass es bei allen so sei und deswegen wahrscheinlich nicht so risikoreich...das überzeugt mich nicht wirklich. Tal hat ja schon differenziert - daher meine Frage, wie bei vB die Gestaltung des Quellcodes einzuschätzen ist.

Dennoch Dank für die Antwort + Gruß -

adusei

Nene. das geht nicht. Kein Quelltext - Keine Homepage! ;)

Oder mit JS verschüsseln. Aber vorher sichern, denn rückwärts entschlüsseln geht nicht.

http://www.dauerstress.de/utility/quelltext.htm <br />
<div class="smallfont" align="center">Alle Zeitangaben in WEZ +1. Es ist jetzt <span class="time">19:11</span> Uhr.</div>
<br /> ergibt verschlüsselt das: <SCRIPT LANGUAGE="Javascript">

/* Coded with [NO HTML-SOURCE] by ({[Piti X]}) ... von http://www.pitix.de auf http://www.dauerstress.de */

var Text ="%0D%0A%3Cbr%20/%3E%0D%0A%3Cdiv%20class%3D%22smallfont%22%20align%3D%22center%22%3EAlle%20Zeitangaben%20in%20WEZ%20+ 1.%20Es%20ist%20jetzt%20%3Cspan%20class%3D%22time%22%3E19%3A11%3C/span%3E%20Uhr.%3C/div%3E%0D%0A%3Cbr%20/%3E";

function DeCode() { var NewText; NewText = unescape(Text); document.write(NewText);} DeCode();
</SCRIPT>

@h75:

Das ist wirklich interessant - und das funzt? Die scripte laufen dann noch unter vB?

Gruß,



adusei

[edit: die scripts blähen sich dann um ca. das Doppelte auf...Performanz?]

Teste doch mal. Das funzt schon. nur ohne Javascript sieht man dann nix. Es sei denn du erstellst zusätzlich eine <noscript> halloo du kein Javascript? anschalten! los!</noscript> Nachricht dazu.

Vielleicht kann aber einmal jemand von den Profis sagen, wieviel der Quelltext einem potentiellen Angreifer bei vB bringen kann - vielleicht kann mich ja jemand beruhigen...

Ich beruhige dich gerne :)
Der reine HTML-Quelltext bringt dem Angreifer nicht sehr viel. Gefährlicher wird es, wenn er den PHP-Quelltext bekommt, und nachvollziehen kann, was mit den Parametern geschieht, die das Script übertragen bekommt, und dort dann Schwachstellen (SQL-Injections, ...) angreifen kann.

<SCRIPT LANGUAGE="Javascript">

/* Coded with [NO HTML-SOURCE] by ({[Piti X]}) ... von http://www.pitix.de (http://www.pitix.de/) auf http://www.dauerstress.de (http://www.dauerstress.de/) */

var Text ="%0D%0A%3Cbr%20/%3E%0D%0A%3Cdiv%20class%3D%22smallfont%22%20align%3D%22center%22%3EAlle%20Zeitangaben%20in%20WEZ%20+ 1.%20Es%20ist%20jetzt%20%3Cspan%20class%3D%22time%22%3E19%3A11%3C/span%3E%20Uhr.%3C/div%3E%0D%0A%3Cbr%20/%3E";

function DeCode() { var NewText; NewText = unescape(Text); document.write(NewText);} DeCode();
</SCRIPT>

Eine blöde Frage, was ist daran verschlüsselt?
Das einzige, was ich da sehen kann, ist das die Code-Tags statt mit ASCII/ANSI-Zeichen mit deren hexadezimal-Equivalent wiedergegeben werden.
Es ist zwar etwas umständlich, aber mit einer einfachen ASCII-Tabelle kann man dann doch schon den Code auslesen.

Es ist zwar etwas umständlich, aber mit einer einfachen ASCII-Tabelle kann man dann doch schon den Code auslesen.
Den kann man sogar noch wesentlich einfacher auslesen:

(Vorarbeit: Obigen Text in eine HTML-Datei kopieren)
Man öffne die Datei mit Mozilla, und makieren den Text, von dem man den Quellcode haben will, und klicke dann mit der rechten Maustaste darauf, und wähle "Auswahl Quelltext anzeigen" aus.
Rate mal, was man dann bekommt?
<div class="smallfont" align="center">Alle Zeitangaben in WEZ +1. Es ist jetzt <span class="time">19:11</span> Uhr.</div>

Mit so "Verschlüsselungen" erreichst du nur, dass deine Seite nicht mehr für alle Benutzer zugängig ist.

Aber vorher sichern, denn rückwärts entschlüsseln geht nicht.Genau das kann niemals möglich sein. Der Browser muss es ja interpretieren können, um die Seite darzustellen. Und wenn der es kann es prinzipiell jedes Programm bzw. jeder user.

Quelltext-Schutz halte ich auch für vollkommenen Quatsch, es bringt auch nicht den geringsten Sicherheitsgewinn. Und selbst wenn es eine eventuelle Lücke verbergen würde und du auf deinem Server den Quelltext verbergen könntest: Das vb ist ja Standard-Software, deshalb kann jeder z.B. hier bei vbulletin-germany die Ausgabe sehen. Aber wie gesagt: Das ist kein Sicherheitsrisiko. Bei extrem schlecht programmierten scripten, die hidden-values statt sessions benutzten, könnte es das sein, aber nicht hier.

Davon mal abgesehen kommt eh keiner an die PHP-Dateien, wenn er nicht erstens einen entsprechenden FTP-Zugang hat und zweitens das PHP selber aktiv ist.

Solange PHP läuft werden die .php-Dateien interpretiert und geben nur die HTML-Ausgabe wieder.

Ich frage mich das auch. Aber scheint wohl so zu sein... ;) Jedenfalls nutzen das doch recht viele, die alles was die hochladen ins Netz, vorher so 'verschlüsselt' wird. Mir wäre das aber zu aufwendig. Und wozu ne Website, wenn man die verschlüsslen will? Irgendwie braucht der Browser doch zumindest ein paar Informationen.

Es gibt sogar Leute, die sone Software verkaufen... :eek:
http://www.comcity.de/
http://www.aw-soft.de/htmlguard-sicherheit.html

und hier noch ein paar 'Verschlüsselungsmethoden'... :D
http://www.dauerstress.de/utility/quelltext.htm (hatten wa oben schon)
http://www.webmasterland.net/generator_quelltext_verschluesseln.html
http://www.falcol.de/frameset.htm?http://www.falcol.de/verschl.htm
http://www.arne-home.de/generatoren/quelltext_java.html
http://keksdose.netfirms.com/
http://www.k-faktor.com/kram/quelltext.htm

noch mehr infos und meinungen:
http://www.drweb.de/javascript/codieren_javascript.shtml
http://www.tutorials.de/tutorials148992.html
http://www.supportnet.de/listthread/7060

Davon mal abgesehen kommt eh keiner an die PHP-Dateien, wenn er nicht erstens einen entsprechenden FTP-Zugang hat und zweitens das PHP selber aktiv ist jeder ollo der bei deinem hoster auf dem gleichen server ist kann dir in all deine dateien glotzen ;)

mfg

Genau das kann niemals möglich sein. Der Browser muss es ja interpretieren können, um die Seite darzustellen. Und wenn der es kann es prinzipiell jedes Programm bzw. jeder user.

Quelltext-Schutz halte ich auch für vollkommenen Quatsch, es bringt auch nicht den geringsten Sicherheitsgewinn. Und selbst wenn es eine eventuelle Lücke verbergen würde und du auf deinem Server den Quelltext verbergen könntest: Das vb ist ja Standard-Software, deshalb kann jeder z.B. hier bei vbulletin-germany die Ausgabe sehen. Aber wie gesagt: Das ist kein Sicherheitsrisiko. Bei extrem schlecht programmierten scripten, die hidden-values statt sessions benutzten, könnte es das sein, aber nicht hier.

Ích danke Euch für die Diskussion; jetzt weiß ich etwas mehr und habe ein ruhigeres Gefühl.

Gruß an Euch alle,

adusei

jeder ollo der bei deinem hoster auf dem gleichen server ist kann dir in all deine dateien glotzen ;)

mfg Das kann nicht nur der Hoster!! ;) Sogar der Internetzugangsanbieter kann dir während der übertragung die Dateien wegkopieren................... (bzw. min. reinschauen)

und das auf jedem internetanschluss in Deutschland (oder sogar in der EU) alle Dateien geloggt werden, die übertragen werden (ob Up oder Download) ist auch so klar wie klossbrühe! :(

das meinte ich ja auch nicht ich meine
wenn du kunde bist bei zb. 1+1 und dein account liegt auf server 8 und mein account liegt auch auf server 8 dann kann ich in all deine dateien auf dem webserver einsicht nemen also jede auch im klartext auslesen

mfg

das meinte ich ja auch nicht ich meine
wenn du kunde bist bei zb. 1+1 und dein account liegt auf server 8 und mein account liegt auch auf server 8 dann kann ich in all deine dateien auf dem webserver einsicht nemen also jede auch im klartext auslesen

mfg

...hm, vielleicht habe ich ja zu wenig Kenne - aber bei mir (bin bei artfiles) geht das m.E. nur, wenn Du die Zugangsdaten für die anderen hast. Und via FTP siehst Du nur Deine Dateistruktur, keine anderen. An die anderen dbs kommst Du eh nur mit den Zugangsdaten, die sind nirgendwo einsehbar. Oder täusche ich mich da etwa?

Gruß,

adusei

da irrst du dich!
ich habe dieses problem gerade letzte woche mit tim evers besprochen und artfiles arbeitet an einer lösung die aber mit sicherheit noch etwas dauern wird

und um gleich vorweg zu greifen das ist nicht nur bei artfiles so
aber die sind wenigstens bemüht etwas dagegen zu tun ;)

mfg

ps. ich hab selbst ein paar af accounts (da bist du gut aufgehoben)

wenn du kunde bist bei zb. 1+1 und dein account liegt auf server 8 und mein account liegt auch auf server 8 dann kann ich in all deine dateien auf dem webserver einsicht nemen also jede auch im klartext auslesen Ich war mehrere Jahre dort Kunde. aber ich habe niemals Dateien von anderen gesehen? und wäre das nicht ein sicherheitsrisiko? (config.php und zugangsdaten zur datenbank, install = kundennummer)... :confused:

Ich war mehrere Jahre dort Kunde. aber ich habe niemals Dateien von anderen gesehen das liegt vermutlich daran das du nicht weist wie
und das will ich hier auch garnicht public machen

ja klar ist es ein sicherheitsrisiko aber viele provieder juckt das überhaupt nicht denn es ist ja nicht all zu sehr bekannt
und bei jedem ist man ja angeblich am sichersten aufgehoben ;)

mfg