Flaschget - Gefahr für PHP-Seiten?
lima-city → Forum → Die eigene Homepage → Internet Allgemein
account
administrator
anzeigen
beitrag
datei
erz
garnicht
gedacht
internetanschlu
irgendein
laber
listening
mist
normale datei
opus
pawort
quelltext
test
ursprungsform
verbessert
-
Nabend alle miteinander
Der Freund meiner sis hat mir heute ein LEGALES Programm zum Downloaden gezeigt. Dieses Programm L?dt nur Dateien, die Auf Seiten Verlinkt sind, wie z.B. die Downloads auf Computerbase.de .
Jetzt hat das Programm aber noch die Funktion, dass man Homepages KOMPLETT runterladen kann und PHP Dateien bekommt man somit in ihrer ursprungsform... das hei?t, man sieht den KOMPLETTEN Quelltext. und genau das macht dieses Programm jetzt so gef?hrlich f?r PHP-Seiten... man kann dann die KOMPLETTEN Daten f?r die MySQL-Verbindung sehen und Memberbereiche downloaden, diese dann so ver?ndern, dass man immer drauf kommt, und dann auf seinem eigenen Server wieder ver?ffentlichen... meiner Meinung nach ist das nicht gerade ohne, weil so gut wie jede Community mit PHP geschrieben ist... dagegen muss man doch was machen, oder findet ihr nicht? durch dieses Programm sind alle sicherheitsma?nahmen von PHP eigentlich f?rn "Arsch" (tschuldigung f?r das Wort). Genau genommen ist das Programm dadurch auch nicht mehr legal... aber jetzt muss man erstmal ?berlegen, wie man sich dagegen sch?tzt... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
probiers doch aus... damit kannste dir alles ausm Netz laden, undzwar so, wie es urspr?nglich ist.
-
Mal ganz abgesehen davon, dass ich es garnicht ausprobieren m?sste, da ich es sowieso wei?... Die Seiten werden doch geparst und du bekommst die dann nicht mehr in der Ursprungsform. Und ja ich habe es ausprobiert und es ging nicht, also bitte erz?hl hier keinen Mist. Du k?nntest es ja selber mal ausprobieren. Help-City.de ist meine Seite, poste hier mal irgendeinen PHP Code meiner Seite, "Irgendeinen". Dann reden wir weiter.
-
hmmm, oder der hat mir da ne crackversion gezeigt... von meinem Server konnte er se jedenfalls runterladen... muss man da noch irgendwas am Server machen oder was?
-
Crackversion... ich hab dir schonmal gesagt du sollst keinen Mist labern. Egal welches Programm du benutzt du kannst dir keine Seiten in Ursprungsform runterladen. Die Seiten werden wie gesagt geparst und was du dir runterl?dst ist dann immer der HTML Code, jedenfalls nie PHP Code.
Wenn er Zugriff zu seinem Webspace hat dann kann man das machen. Bei Flashget hat man die M?glichkeit sich am Server anzumelden. Wenn er sich angemeldet hat mit deinem Account, dann kann er auch deine Dateien in Ursprungsform runterladen. Sonst nicht und bevor du hier noch weiter so einen Mist erz?hlst zeig lieber mal irgendwelchen PHP Code, den du dir runtergeladen hast von Webseiten. ;) -
aso... das mim server anmelden habisch net gewusst
sry sry ^^ kann ja jeden mal passieren. *g* -
Die einzige M?glichkeit an den PHP-Code zu kommen ist das Passwort f?r deinen Account zu knacken.
Firefox, IE, Opera etc. k?nnen PHP gar nicht lesen.
Der PHP-Code wird vom Server automatische in HTML-Code ?bersetzt.
Somit ist es unm?glich den PHP code zu kriegen (ausser man knackt das passwort vom server, aber das ist was anderes) -
joa... ich hab net mitbekommen, dass der da meine Accountdaten eingegeben hat, deswegen hab ich gedacht, dass dieses Programm an alles ran kommt. ^^
na ja, wieder was dazugelernt... erst aufpassen, was denn ?berhaupt passiert ist, dann schreiben.
-
Jetzt hatte ich mich schon gefreut....nein nach einem test habe ich gemerkt das man immer das herausbekommt wenn man sich im Browser den Quellcode ansieht^^
Und das einzig gef?hrliche an dem Tool sit das man sich die Dateien auf dem Server anzeigen lassen kann...soweit ich weis alle...oder nicht ;)? -
Jetzt hatte ich mich schon gefreut....nein nach einem test habe ich gemerkt das man immer das herausbekommt wenn man sich im Browser den Quellcode ansieht^^
Und das einzig gef?hrliche an dem Tool sit das man sich die Dateien auf dem Server anzeigen lassen kann...soweit ich weis alle...oder nicht ;)?
Nur alle, die irgendwie verlinkt sind und dadurch bekannt sind.
Nicht verlinkte Dateien kann man nur erraten. -
aber das macht das einen dann doch iwie schwer ne Community sicher zu proggen...
wenn man die n?mlich schei?e programmiert, kann es sein, dass man sich vllt den Communitybereich runterziehen kann ^^
am besten ist es, wenn man jeden Link in PHP macht und den iwie so modifiziert, dass der von Variablen abh?ngig ist... dann geht das nimmer ^^ -
aber das macht das einen dann doch iwie schwer ne Community sicher zu proggen...
wenn man die n?mlich schei?e programmiert, kann es sein, dass man sich vllt den Communitybereich runterziehen kann ^^
am besten ist es, wenn man jeden Link in PHP macht und den iwie so modifiziert, dass der von Variablen abh?ngig ist... dann geht das nimmer ^^
-.- F?ngst du schon wieder an Mist zu labern...
Es kann immer sein, dass irgendwo eine Sicherheitsl?cke ist, aber man muss wirklich grottenschlecht programmieren, wenn jemand einfach an die Userdaten rankommt. An die Links kommt man so oder so. Mit PHP machst du doch auch keine Links sondern mit HTML, du kannst mit PHP h?chstens HTML ausgeben, aber dadurch wird der Link immernoch f?r jeden sichtbar, das l?sst sich auch nicht verhindern und w?re auch albern, weil der User ja schlie?lich auf Links klicken soll. Und einen Link modifizieren, dass der von Variablen abh?ngig ist, ist wohl das L?cherlichste was ich seit Langem geh?rt habe. -
keine Angst, mit dem Programm wird man es nie hinriegen, das man sich als Administrator einlogen kann.
Der Link daf?r bekommt man n?lich erst, wenn man sich als Administrator eingeloggt hat und ohne Link geht es nunmal nicht -
...hmmm....
ich hab mir jetzt nicht alles durchgelesen aber da gabs doch mal einen thread keine ahnung von wem... da hat dann jemand geschrieben das es auf den server ankommt ob man php-dateien runterladen kann und ich hab das dann mit Gozilla probiert und ist dann bei xardas auch gegangen... seit dem hab ich das aber nicht mehr versucht...
hoff ich laber keinen m?ll sonst verbessert mich
PS: ich mein mit das es auf den server ankommt das man das irgendwie einstellen kann aber fragt mich bloss nicht wie...
Beitrag ge?ndert: 24.9.2006 20:58:02 von rideofsteel -
//EDIT
Erst lesen dann Posten...
hab was ?bersehen.
Beitrag ge?ndert: 24.9.2006 21:05:51 von kafke -
Hmmm vll geht das mit Directory-Listening, dass das Programm dann nicht die index als index lies, sondern als normale datei. Dann m?sste das ja gehen, das man auch non-verlinkte dateien sieht. Aber PHP-Codes d?rfte man nicht lesen k?nnen XD
Is nur ne Vermutung. Verbessert mich wenn n?tig^^ -
Hmmm vll geht das mit Directory-Listening, dass das Programm dann nicht die index als index lies, sondern als normale datei.
Nein, das kann nicht sein. Ein Programm kann eine Index-Datei nicht als eine "normale Datei" lesen, da es vom Server abh?ngt und nicht von einem Programm. Es ist genauso unm?glich wie eine php-Datei als eine "normale Datei" (ungeparst) zu lesen.
edit: Bitte denkt doch mal nach, bevor ihr euch diese Sicherheitsl?cken-Theorien aufstellt. Denn wenn alles so einfach w?re, w?rde man PHP wohl kaum benutzen.
Beitrag ge?ndert: 24.9.2006 22:17:23 von griffin-cms -
Sorry ich wusste nicht ob das jetzt Browser- oder sevrerabh?ngig ist^^
Ich glaube der Thread k?nnte geschlossen werden... -
ja n?, wieso denn? ^^
Hab da noch was... wer net will, dass man auf einen Schlag alle Dateien sieht, der bastelt sich ne Config, die dann alles entsprechend weiterleitet... also den link mit Get oder postvariablen auf diese Datei verlinken und die leitet das dann zur richtigen Datei weiter. So kann man wenichstens verhindern, dass det ganze Ordnergefl?cht versteckt ist... vile wollen ja nichtmal, dass man det sieht... aber ich habs jetzt kapiert... PHP is l?ckenlos sicher. XD zumindest wenn man net die ganzen Passw?rter weitergibt. :P -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
