Sicherheit: Wie "Quelltext anzeigen" deaktivieren?

**adusei** · 31.01.2005, 17:42

Hallo,

bei mir im Board versuchen Gäste, auf die usercp.php zuzugreifen. Wie kann ich für alle vB-Seiten die Option "Quelltext anzeigen" deaktivieren? Nur so können die auf den Bolzen mit der usercp.php gekommen sein...

TIA und Gruß,

adusei

**adusei** · 31.01.2005, 17:48

..ok, fürchte, es hat sich erledigt:

http://www.vbulletin-germany.com/for...ltext+anzeigen

Vielleicht kann aber einmal jemand von den Profis sagen, wieviel der Quelltext einem potentiellen Angreifer bei vB bringen kann - vielleicht kann mich ja jemand beruhigen...

TIA + Gruß von

adusei

**Tal** · 31.01.2005, 18:12

du kannst es nicht deaktivieren

egal was du machst
man kann mit javascript rechtemaustaste deaktivieren
da geht man über navigation oben im browser und schaut sich alles an

oder man deaktiviert kurz javascript

quelltext ist hilfreich und gefährlich zugleich

wenn eine anwendung ordentlich programmiert ist, hat man nix zu befürchten
es gibt aber manche experten die lassen bei einem script als hidden variablen z.B userpasswörter/userids und sonstiege sensieble daten

noch schlimmer wenn diese nicht mal überprüft werden...
auch auf "GET/POST" würde ich mich nicht verlassen, das kann man z.B mit FF schnell umtauschen und aus GET-> POST request machen, sehr nützlich ist ( für debuging ) webdeveloper plugin

quelltext kann dir aber helfen einige fehler zu finden ( meistens was templates angeht )

**adusei** · 31.01.2005, 18:19

Herzlichen Dank für die ausführliche Antwort.

Wie ist denn vB einzuschätzen bzgl. des Quellcodes - ist das ordentlich gemacht, also sicher?

Fragt mit Gruß

adusei

**Metro Man** · 31.01.2005, 18:23

Da das bei allen systemen so sit das man den quellcode sehen kann, würde ich das als nicht so risko reich einschätzen

**adusei** · 31.01.2005, 18:29

@MetroMan:

Ich bin kein Experte; aber die Antwort, dass es bei allen so sei und deswegen wahrscheinlich nicht so risikoreich...das überzeugt mich nicht wirklich. Tal hat ja schon differenziert - daher meine Frage, wie bei vB die Gestaltung des Quellcodes einzuschätzen ist.

Dennoch Dank für die Antwort + Gruß -

adusei

**h75** · 31.01.2005, 19:09

Nene. das geht nicht. Kein Quelltext - Keine Homepage!

Oder mit JS verschüsseln. Aber vorher sichern, denn rückwärts entschlüsseln geht nicht.

http://www.dauerstress.de/utility/quelltext.htm

<br />
<div class="smallfont" align="center">Alle Zeitangaben in WEZ +1. Es ist jetzt <span class="time">19:11</span> Uhr.</div>
<br />

ergibt verschlüsselt das:

<SCRIPT LANGUAGE="Javascript">

/* Coded with [NO HTML-SOURCE] by ({[Piti X]}) ... von http://www.pitix.de auf http://www.dauerstress.de */

var Text ="%0D%0A%3Cbr%20/%3E%0D%0A%3Cdiv%20class%3D%22smallfont%22%20align%3D%22center%22%3EAlle%20Zeitangaben%20in%20WEZ%20+1.%20Es%20ist%20jetzt%20%3Cspan%20class%3D%22time%22%3E19%3A11%3C/span%3E%20Uhr.%3C/div%3E%0D%0A%3Cbr%20/%3E";

function DeCode() { var NewText; NewText = unescape(Text); document.write(NewText);} DeCode();
</SCRIPT>

**adusei** · 31.01.2005, 19:35

@h75:

Das ist wirklich interessant - und das funzt? Die scripte laufen dann noch unter vB?

Gruß,

adusei

[edit: die scripts blähen sich dann um ca. das Doppelte auf...Performanz?]

**h75** · 31.01.2005, 19:40

Teste doch mal. Das funzt schon. nur ohne Javascript sieht man dann nix. Es sei denn du erstellst zusätzlich eine

Nachricht dazu.

**StGaensler** · 31.01.2005, 20:55

Zitat von adusei

Vielleicht kann aber einmal jemand von den Profis sagen, wieviel der Quelltext einem potentiellen Angreifer bei vB bringen kann - vielleicht kann mich ja jemand beruhigen...

Ich beruhige dich gerne

Der reine HTML-Quelltext bringt dem Angreifer nicht sehr viel. Gefährlicher wird es, wenn er den PHP-Quelltext bekommt, und nachvollziehen kann, was mit den Parametern geschieht, die das Script übertragen bekommt, und dort dann Schwachstellen (SQL-Injections, ...) angreifen kann.

**samjo** · 06.02.2005, 06:57

Zitat von h75

<SCRIPT LANGUAGE="Javascript">

/* Coded with [NO HTML-SOURCE] by ({[Piti X]}) ... von http://www.pitix.de auf http://www.dauerstress.de */

var Text ="%0D%0A%3Cbr%20/%3E%0D%0A%3Cdiv%20class%3D%22smallfont%22%20align%3D%22center%22%3EAlle%20Zeitangaben%20in%20WEZ%20+1.%20Es%20ist%20jetzt%20%3Cspan%20class%3D%22time% 22%3E19%3A11%3C/span%3E%20Uhr.%3C/div%3E%0D%0A%3Cbr%20/%3E";

function DeCode() { var NewText; NewText = unescape(Text); document.write(NewText);} DeCode();
</SCRIPT>

Eine blöde Frage, was ist daran verschlüsselt?
Das einzige, was ich da sehen kann, ist das die Code-Tags statt mit ASCII/ANSI-Zeichen mit deren hexadezimal-Equivalent wiedergegeben werden.
Es ist zwar etwas umständlich, aber mit einer einfachen ASCII-Tabelle kann man dann doch schon den Code auslesen.

**StGaensler** · 06.02.2005, 07:47

Zitat von samjo

Es ist zwar etwas umständlich, aber mit einer einfachen ASCII-Tabelle kann man dann doch schon den Code auslesen.

Den kann man sogar noch wesentlich einfacher auslesen:

(Vorarbeit: Obigen Text in eine HTML-Datei kopieren)
Man öffne die Datei mit Mozilla, und makieren den Text, von dem man den Quellcode haben will, und klicke dann mit der rechten Maustaste darauf, und wähle "Auswahl Quelltext anzeigen" aus.
Rate mal, was man dann bekommt?

HTML-Code:

<div class="smallfont" align="center">Alle Zeitangaben in WEZ +1. Es ist jetzt <span class="time">19:11</span> Uhr.</div>

Mit so "Verschlüsselungen" erreichst du nur, dass deine Seite nicht mehr für alle Benutzer zugängig ist.

**simplex** · 06.02.2005, 13:31

Aber vorher sichern, denn rückwärts entschlüsseln geht nicht.

Genau das kann niemals möglich sein. Der Browser muss es ja interpretieren können, um die Seite darzustellen. Und wenn der es kann es prinzipiell jedes Programm bzw. jeder user.

Quelltext-Schutz halte ich auch für vollkommenen Quatsch, es bringt auch nicht den geringsten Sicherheitsgewinn. Und selbst wenn es eine eventuelle Lücke verbergen würde und du auf deinem Server den Quelltext verbergen könntest: Das vb ist ja Standard-Software, deshalb kann jeder z.B. hier bei vbulletin-germany die Ausgabe sehen. Aber wie gesagt: Das ist kein Sicherheitsrisiko. Bei extrem schlecht programmierten scripten, die hidden-values statt sessions benutzten, könnte es das sein, aber nicht hier.

**samjo** · 06.02.2005, 14:52

Davon mal abgesehen kommt eh keiner an die PHP-Dateien, wenn er nicht erstens einen entsprechenden FTP-Zugang hat und zweitens das PHP selber aktiv ist.

Solange PHP läuft werden die .php-Dateien interpretiert und geben nur die HTML-Ausgabe wieder.

**h75** · 06.02.2005, 15:58

Ich frage mich das auch. Aber scheint wohl so zu sein...

Jedenfalls nutzen das doch recht viele, die alles was die hochladen ins Netz, vorher so 'verschlüsselt' wird. Mir wäre das aber zu aufwendig. Und wozu ne Website, wenn man die verschlüsslen will? Irgendwie braucht der Browser doch zumindest ein paar Informationen.

Es gibt sogar Leute, die sone Software verkaufen...

http://www.comcity.de/
http://www.aw-soft.de/htmlguard-sicherheit.html

und hier noch ein paar 'Verschlüsselungsmethoden'...

http://www.dauerstress.de/utility/quelltext.htm (hatten wa oben schon)
http://www.webmasterland.net/generat...hluesseln.html
http://www.falcol.de/frameset.htm?ht...de/verschl.htm
http://www.arne-home.de/generatoren/quelltext_java.html
http://keksdose.netfirms.com/
http://www.k-faktor.com/kram/quelltext.htm

noch mehr infos und meinungen:
http://www.drweb.de/javascript/codie...vascript.shtml
http://www.tutorials.de/tutorials148992.html
http://www.supportnet.de/listthread/7060

**Holger** · 06.02.2005, 16:07

Davon mal abgesehen kommt eh keiner an die PHP-Dateien, wenn er nicht erstens einen entsprechenden FTP-Zugang hat und zweitens das PHP selber aktiv ist

jeder ollo der bei deinem hoster auf dem gleichen server ist kann dir in all deine dateien glotzen

mfg

**adusei** · 06.02.2005, 16:20

Zitat von simplex

Genau das kann niemals möglich sein. Der Browser muss es ja interpretieren können, um die Seite darzustellen. Und wenn der es kann es prinzipiell jedes Programm bzw. jeder user.

Quelltext-Schutz halte ich auch für vollkommenen Quatsch, es bringt auch nicht den geringsten Sicherheitsgewinn. Und selbst wenn es eine eventuelle Lücke verbergen würde und du auf deinem Server den Quelltext verbergen könntest: Das vb ist ja Standard-Software, deshalb kann jeder z.B. hier bei vbulletin-germany die Ausgabe sehen. Aber wie gesagt: Das ist kein Sicherheitsrisiko. Bei extrem schlecht programmierten scripten, die hidden-values statt sessions benutzten, könnte es das sein, aber nicht hier.

Ích danke Euch für die Diskussion; jetzt weiß ich etwas mehr und habe ein ruhigeres Gefühl.

Gruß an Euch alle,

adusei

**h75** · 06.02.2005, 16:47

Zitat von Holger

jeder ollo der bei deinem hoster auf dem gleichen server ist kann dir in all deine dateien glotzen

mfg

Das kann nicht nur der Hoster!!

Sogar der Internetzugangsanbieter kann dir während der übertragung die Dateien wegkopieren................... (bzw. min. reinschauen)

und das auf jedem internetanschluss in Deutschland (oder sogar in der EU) alle Dateien geloggt werden, die übertragen werden (ob Up oder Download) ist auch so klar wie klossbrühe!

**Holger** · 06.02.2005, 17:37

das meinte ich ja auch nicht ich meine
wenn du kunde bist bei zb. 1+1 und dein account liegt auf server 8 und mein account liegt auch auf server 8 dann kann ich in all deine dateien auf dem webserver einsicht nemen also jede auch im klartext auslesen

mfg

**adusei** · 06.02.2005, 17:53

Zitat von Holger

das meinte ich ja auch nicht ich meine
wenn du kunde bist bei zb. 1+1 und dein account liegt auf server 8 und mein account liegt auch auf server 8 dann kann ich in all deine dateien auf dem webserver einsicht nemen also jede auch im klartext auslesen

mfg

...hm, vielleicht habe ich ja zu wenig Kenne - aber bei mir (bin bei artfiles) geht das m.E. nur, wenn Du die Zugangsdaten für die anderen hast. Und via FTP siehst Du nur Deine Dateistruktur, keine anderen. An die anderen dbs kommst Du eh nur mit den Zugangsdaten, die sind nirgendwo einsehbar. Oder täusche ich mich da etwa?

Gruß,

adusei