Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Online-Kundenverwaltung und Sicherheit

Mitglied: nizeboy

nizeboy (Level 1) - Jetzt verbinden

06.05.2008, aktualisiert 12.05.2008, 4363 Aufrufe, 10 Kommentare

Ich erstelle momentan ein Webportal für Mitarbeiter eines Dienstleistungs-Unternehmens (Außendienst!). Dieses Portal dient zur Kundenverwaltung und Abrechnungserstellung. Hierzu habe ich einige Fragen bzgl. Sicherheit:

1. Ist es eine Schandtat solch ein System online verfügbar zu machen?
2. Wie prüfe ich mein System auf Sicherheit?
3. Was passiert, wenn sich jemand ins System reinhackt? Haftungsausschluss, etc...?
4. Welche Daten sollten wenn möglich nicht in einer Datenbank abgelegt werden?


Vielen Dank!

[EDIT masterG 07.05.08 17:32]:
Verschoben nach Web Entwicklung
Mitglied: 51705
06.05.2008 um 21:00 Uhr
Hallo nizeboy,

1. Ist es eine Schandtat solch ein System
online verfügbar zu machen?
2. Wie prüfe ich mein System auf
Sicherheit?
3. Was passiert, wenn sich jemand ins System
reinhackt? Haftungsausschluss, etc...?
4. Welche Daten sollten wenn möglich
nicht in einer Datenbank abgelegt werden?

5. Gibt es ein Lastenheft?
6. Gibt es ein aus dem Lastenheft erstelltes Pflichtenheft?

Grüße, Steffen
Bitte warten ..
Mitglied: megacarsIT
06.05.2008 um 22:06 Uhr
Hallo!!

Zu
1) Denk doch über VPN nach!? So brauchst nicht in der öffentlichkeit online zu stellen.
Welche Zugangsmöglichkeiten haben die Aussendienstler?

4) Was meinst Du damit genau??



Gruss,
megacarsIT
Bitte warten ..
Mitglied: spacyfreak
06.05.2008 um 22:16 Uhr
Wenn man solch sensible Dinge über ein Webinterface abwickeln will würde ich das auf jeden Fall von Web-Profis machen lassen. Der Server muss auch regelmässig gewartet / upgedatet werden.
Andere Lösung wäre wie bereits erwähnt VPN oder eine SSL-VPN Variante. Letztere sind sehr empfehlenswert um interne Webserver dahinter zu verstecken und dennoch dem Benutzer einen sehr einfachen und dennoch sicheren Zugriff zu ermöglichen.
Ja, ich würde das auf jeden Fall über eine SSL-VPN Lösung absichern.
Bitte warten ..
Mitglied: nizeboy
06.05.2008 um 23:23 Uhr
Hey,

welche Voraussetzungen muss ich für SSL-VPN erfüllen? Einen frei konfigurierbaren Webserver? Oder reicht an Server von einem x-beliebigen Anbieter, der SSL Zertifikate vergibt (1&1, Strato, ...)?
Bitte warten ..
Mitglied: nizeboy
07.05.2008 um 00:22 Uhr
Nachtrag: wie lösen z.B. Banken das Sicherheitsproblem? Die nutzen doch auch "nur" SSL oder?
Bitte warten ..
Mitglied: spacyfreak
07.05.2008 um 23:09 Uhr
Nachtrag: wie lösen z.B. Banken das
Sicherheitsproblem? Die nutzen doch auch
"nur" SSL oder?

Das SSL ist auch garnicht das Problem.
Eine komplexe Webanwendung mit PHP, MySQL etc ist recht anfällig,wenn nicht von kundigen Profis erstellt. Crosssite-Scripting, SQL Injection etc etc.
Bitte warten ..
Mitglied: nizeboy
08.05.2008 um 13:19 Uhr
SSL dient z.B. zur Vermeidung von Session Hijack oder ausspähen von Daten.
Klar ist eine Webanwendung mit PHP relativ anfällig - aber das ändert nichts an der Tatsache, dass ich versuche, die Webanwendung möglichst sicher zu gestalten.
XSS, SQL Injections, Session Fixation, CSRF, ...

Auf dem Webserver wird alle 10min ein Backup auf versch. physikalischen Datenträgern gemacht, die 3 Wochen lang auf 10min genau zurückverfolgt werden können und ggf. wiederhergestellt werden kann.

Solange die Anwendung noch in der Entwicklung ist, kann ich auf Sicherheit besser achten, als wenn's zu spät ist ;) Und Erfahrung habe ich schon, nur eben nicht die langjährige PHP Erfahrung, sondern eben langjährige C++ Erfahrung.

Vielleicht gibt es da draussen im WWW auch eine Seite die sich nur mit PHP Sicherheit beschäftigt? Ich habe sie noch nicht entdeckt
Bitte warten ..
Mitglied: Creator1981
12.05.2008 um 09:01 Uhr
1. Ist es eine Schandtat solch ein System online verfügbar zu machen?
Nein
2. Wie prüfe ich mein System auf Sicherheit?
Ist nicht ganz einfach, weil man dafür auch die Angriffs möglichkeiten kenn muss.
3. Was passiert, wenn sich jemand ins System reinhackt? Haftungsausschluss, etc...?
Der Haftungsauschluss Interessiert niemanden. Ausbaden muss es eh die Firma.
4. Welche Daten sollten wenn möglich nicht in einer Datenbank abgelegt werden?
Flascher Frage. Es muss alles in der Db stehen was du für Applicationen benötigst.

Ich bin bistzer eines Windows Root Servers der jetzt ca. 2 Monate online ist.
Pro Tag habe ich ca. 20.000 Scans. Also irgendwelche Pots die Versuchen sich über PHPmyadmin anzumelden usw.
Um die Sicherheit zu erhöhen, habe ich bei mir jede möglichkeit verhindet, das man Irgend was übers Web Administrieren kann. Das hilft schonmal ungemein.

Bei der Entwicklung von PHP Aplicationen gillt immer:
Vertraue niemanden. Prüfe jedes verfluchte Formular Feld. Prüfe bei jedem Seitenaufruf die URL. Verwende auf jedenfall SSL bei Wichtigen daten. Ein Login ohne SSL bietet absolut keine Sicherheit.

Sessions ausschliesslich über Cookies abwickeln, da sonst Url klau auch eine Sicherheitslücke ist.

Verwende bei jedem String, der richtung Db geht immer mysql_real_escape_string().
Arbeite mit PHP5 und nicht mit PHP4.

Verwende nie mals die Funktion global().

Und so könnte ich wahrscheinlich noch lange weitermachen.

Wenn du erst angefangen hast dich mit PHP zu beschäftigen, dann lass es bleiben.
Bitte warten ..
Mitglied: spacyfreak
12.05.2008 um 10:06 Uhr
Selbst bei Einsatz von SSL ist die Sicherheit nicht unbedingt gegeben.
Mit Tools wie xxxx oder xxxxxx kann man mit zwei Klicks einen Webserver-Besucher "umlenken" und die Tools spucken sofort das Passwort aus das der User eingibt.
Das Raffinierte ist dass xxxx sich das Original Webserverzertifikat holt, daraus Informationen extrahiert und dem ahnungslosen Benutzer ein gefälschtes Zertifikat unterschiebt.
Das Zertifikat zeigt zwar Fehlermeldungen an- doch wenn der User einfach ok klickt, dann ist es zu spät. Die Vertrauenswürdigkeit des Webserverzertifikats sollte im Idealfall durch eine öffentl. zertifizierungsstelle wie Verisign beglaubigt sein.

Besonders an öffentl. WLAN Hotspots ist das schon riskant da man nicht weiss wer sich noch so alles im lokalen Netz tummelt. Paranoia bringt natürlich auch nix - doch wenn es um unternehmenskritische Anwendungen geht kann man garnicht paranoid genug sein.

Es ist schon massives Spezialwissen notwendig das immer wieder aktualisiert werden muss um komplexe und unternehmenskritische Webanwendungen zuverlässig abzusichern. Die beste Methode ist meiner Meinung nach den Webserver hinter einer SSL-VPN Lösung zu verstecken, da der Webserver in dem Fall überhaupt nicht direkt angreifbar ist.
Bitte warten ..
Mitglied: Creator1981
12.05.2008 um 10:43 Uhr
Selbst bei Einsatz von SSL ist die Sicherheit
nicht unbedingt gegeben.
Mit Tools wie xxxx oder xxxxxx kann man mit
zwei Klicks einen Webserver-Besucher
"umlenken" und die Tools spucken
sofort das Passwort aus das der User
eingibt.
Das Raffinierte ist dass xxxx sich das
Original Webserverzertifikat holt, daraus
Informationen extrahiert und dem ahnungslosen
Benutzer ein gefälschtes Zertifikat
unterschiebt.
Das Zertifikat zeigt zwar Fehlermeldungen
an- doch wenn der User einfach ok klickt,
dann ist es zu spät. Die
Vertrauenswürdigkeit des
Webserverzertifikats sollte im Idealfall
durch eine öffentl.
zertifizierungsstelle wie Verisign beglaubigt
sein.
Ich bin jetzt davon ausgegangen das das Zertifikate von einer Ofiziellen Stelle aus beglaubigt werden. Bei mir Geotrust.
Wie soll xxxx an das Zertifikate kommen?
Habe schon die eine oder andere Config gesehen wo sowas im Apache Root liegt, das ist sicherlich selten dämlich. Dann kann ich es auch gleich zum DW anbieten *XD
Außerdem sehe ich das so das dann auch eine Grobe fehlerhafte Administration des Servers vorliegt.

Es ist schon massives Spezialwissen
notwendig das immer wieder aktualisiert
werden muss um komplexe und
unternehmenskritische Webanwendungen
zuverlässig abzusichern. Die beste
Methode ist meiner Meinung nach den Webserver
hinter einer SSL-VPN Lösung zu
verstecken, da der Webserver in dem Fall
überhaupt nicht direkt angreifbar ist.

Das beudetet aber auch, das die Administration sehr aufwendig ist, und man sich mit Wildgewordenen Rechner von Mitarbeitern beschäftigen muss.

Diese Lösung in Mittelständigen Unternehmen anzuwenden führt zum absoluten Caos.
Außer jeder Außendienstmitarbeiter bekommt ein Notebook gestellt von dem er arbeiten kann, an diesem hat er natürlich kaum rechte.

Die Kosten sind dann aber auch nicht wech zu denken.

Ich denke mal das die Daten die er verwalten muss sich nicht weit unterscheiden von dem eines Onlineshops. Stell dir mal vor jeder Shop betreuer wäre so Paranoit und würde einen Tunnel erzwingen.

Angriffe auf einem Server sind immer nur dann möglich wenn ich meinen Server falsch eingerichtet habe, oder meine Application falsch entwickelt habe.

Das ist die einzige möglichkeiten die ich als Admin und/oder Entwickler beeinflussen kann.
Liegt eine Sicherheitslücke im z.b. Apache vor und es gibt noch kein Update dann bin ich machtlos.

Das es überhaupt Möglich ist einen Root Server zu Mieten ohne die Ausbildung dafür zu haben sehe ich Persönlich als grop Fahrlässig an. Aber das ist nur meine Bescheidene Meinung.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Sicherheit Netzwerksegmentierung
Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Windows Netzwerk
Sicherheit Administrationskonten
gelöst Frage von Philipp711Windows Netzwerk5 Kommentare

Hallo Leute, seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ...

Tipps & Tricks
IT-Sicherheit
gelöst Frage von RaucherbeinTipps & Tricks13 Kommentare

Hi Leute. Ich bin seit geraumer Zeit im Netz auf der Suche nach brauchbaren Inhalten zum Thema IT-Sicherheit. Ich ...

Datenschutz
DataRoom und Sicherheit
Frage von MineralwasserDatenschutz2 Kommentare

Guten Tag Wir haben immer wieder mit Firmen zu tun die Ihre Daten über DataRoom Lösungen anbieten. Da ich ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 4 TagenHumor (lol)6 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 5 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 8 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 9 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba31 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Windows Systemdateien
Verknüpfungen nach Pfadwechsel
Frage von Hendrik2586Windows Systemdateien17 Kommentare

Guten Morgen meine lieben Kollegen und Kolleginnen, ich hab da mal eine Frage die Ihr sicher schon kennt. Es ...

Batch & Shell
CMD-Fenster nach Task schließen
gelöst Frage von Hyperlink.93Batch & Shell16 Kommentare

Hallo, ich habe ein Skript was über einen Task bei jeder User Anmeldung läuft. Der Task startet eine CMD ...

Netzwerkmanagement
Sehr langsame Netzverbindung in einem bestimmten Subnet
gelöst Frage von gabeBUNetzwerkmanagement15 Kommentare

Hallo Zusammen Ich habe das folgende Problem: Unser Netzwerk, dass aus verschiedenen Subnetzwerken aufgebaut ist, ist nicht in jedem ...