AJAX: User ohne JavaScript einfach 'ausschließen'?

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14594

21.12.2009 - 01:25

was soll security by obscurity bringen?

die obscurity ist bei ner webapp imho lächerlich. man suche sich eingabeparameter und schon gehts los. dank der fehlermeldungen weiß ma recht schnell "was zieht". und spätestens wennst wo ne sql injection offen hast, weils einen form input zerreißt, is sowieso alles vorbei. Von XSS Attacken in allen Ausführungen red ich ned mal, da wirds dann wirklich bitter.

Das ganze kann bei in sich abgeschlossenen Systemen funktioniern, auf die man von außen nur über definiert Schnittstellen kommt. Bei Web Lösungen, vor allem selbst geschnitzte, zerreißt es einen insta.

und ja, auch dafür gibts automatisierte Programme.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

21.12.2009 - 10:17

Hm. Es kommt mir vor als ob ich in ein Bienennest gestochen hätte. Viele scheinen sich an meiner Denkweise zu stören und meine Fragestellung wortwörtlich auszulegen und auseinander zu nehmen.

Ich versuch mal nen Vergleich:
Jemand der Auto fahren kann, kann Taxifahrer und Rennfahrer werden/ sein. Ein Rennfahrer ist aber nicht zwangsläufig ein geeigneter Taxifahrer, und umgekehrt.

Viele Wege führen nach Rom, wie's so schön heisst.
Welcher ist der 'Richtige'? Und vorallem: warum denn?

ich habe weder zeit-, noch profitdruck. und das grundgerüst meiner lösungen wird seit jahren gepflegt und weiter entwickelt. alle löcher kann man nie stopfen, klar.
das wäre gleich wie ne 'sichere firma'. so lange input nötig ist gibts risiken.

Zitat von kleinerChemiker
Handelt es sich jedoch um eine weit verbreitete Software (egal ob open source oder kommerziell) und eine publik gewordene Sicherheitslücke wird nicht rechtzeitig geschlossen, ist die Wahrscheinlichkeit daß Bots oder Skriptkiddies die Lücke ausnutzen ungleich größer.

...das ist mein Denkansatz.

Viele mir bekannte 'Webdesigner', die 'gerade so' PHP-Scripts installieren/konfigurieren können, verkaufen OpenSource Lösungen an Ihre Kunden. Bei den Kleinst- und Kleinbetrieben ist oft nicht mehr Kapital verfügbar. Daher wird auch so gut wie nie ein Wartungsvertrag abgeschlossen. Und wenn dann die OS-Lösung ne Lücke hat kann man mit Google ne Suche starten und alle betroffenen Webseiten ausfindig machen und 'einbrechen'.

Please: BTT

PS: Einen SQL-Injection Angriff hatte ich letzte Woche auf den Shop. Gott sei Dank hatten Sie keine Chance einzudringen. Nur der Server war 'etwas überlastet' mit der Flut der gleichzeitigen Anfragen (wahr wohl ein Botnet).

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

21.12.2009 - 10:47

Zitat von semteX
was soll security by obscurity bringen?

die obscurity ist bei ner webapp imho lächerlich. man suche sich eingabeparameter und schon gehts los. dank der fehlermeldungen weiß ma recht schnell "was zieht". und spätestens wennst wo ne sql injection offen hast, weils einen form input zerreißt, is sowieso alles vorbei. Von XSS Attacken in allen Ausführungen red ich ned mal, da wirds dann wirklich bitter.

Das ganze kann bei in sich abgeschlossenen Systemen funktioniern, auf die man von außen nur über definiert Schnittstellen kommt. Bei Web Lösungen, vor allem selbst geschnitzte, zerreißt es einen insta.

und ja, auch dafür gibts automatisierte Programme.

Ehrlich, SQL injection ist ein dermaßen alter hut, wenn man ein Script nicht dagegen absichert gehört man eh schon aufgehängt als Programmierer. Da könntest ja auch mit register_globals argumentieren.

Jede Weblösung hat eine besser definierte Schnittstelle als jedes Anwenderprogramm - mit direktem Speicherzugriff ist da nichts, der User hat nur eine sehr geringe Interaktionsmöglichkeit (Links/etwaiges AJAX), ALLES kann aussschließlich über den Socket zum Server kommen, das Protokoll ist hoch genug dass man sich mit Übertragungsfehlern nicht befassen machen muss (=man kann alles was einem nicht geheuer vorkommt getrost abblocken), viel schöner kanns gar nicht sein.

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14594

23.12.2009 - 14:48

Zitat von watchout
Ehrlich, SQL injection ist ein dermaßen alter hut, wenn man ein Script nicht dagegen absichert gehört man eh schon aufgehängt als Programmierer. Da könntest ja auch mit register_globals argumentieren.

Jede Weblösung hat eine besser definierte Schnittstelle als jedes Anwenderprogramm - mit direktem Speicherzugriff ist da nichts, der User hat nur eine sehr geringe Interaktionsmöglichkeit (Links/etwaiges AJAX), ALLES kann aussschließlich über den Socket zum Server kommen, das Protokoll ist hoch genug dass man sich mit Übertragungsfehlern nicht befassen machen muss (=man kann alles was einem nicht geheuer vorkommt getrost abblocken), viel schöner kanns gar nicht sein.

du redest vom idealfall, ich von der praxis.

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

23.12.2009 - 16:26

Inwiefern rede ich vom Idealfall?

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14594

23.12.2009 - 17:03

nunja, du tust so, als ob jede web app eh zu 100% sicher sein muss, is ja alles überhaupt kein problem. die praxis sieht eben _stark_ anders aus

BiG_WEaSeL

Super Moderator
-

Registered: Jun 2000
Location: Wien
Posts: 8279

23.12.2009 - 17:09

bitte löse es per graceful degradation und zwar dem kunden, und dem kunden der kunden gegenüber.

Vergiss nicht: Es soll nicht deinem Auftraggeber gefallen, sondern den Kunden deines Auftraggebers.

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

24.12.2009 - 03:40

Zitat von semteX
nunja, du tust so, als ob jede web app eh zu 100% sicher sein muss, is ja alles überhaupt kein problem. die praxis sieht eben _stark_ anders aus

Das war nicht meine Absicht, ich wollte nur deiner Aussage widersprechen dass Webapplikationen kein klar definiertes Interface haben, was ein Programmierer daraus macht ist seine Sache.

semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14594	21.12.2009 - 01:25 was soll security by obscurity bringen? die obscurity ist bei ner webapp imho lächerlich. man suche sich eingabeparameter und schon gehts los. dank der fehlermeldungen weiß ma recht schnell "was zieht". und spätestens wennst wo ne sql injection offen hast, weils einen form input zerreißt, is sowieso alles vorbei. Von XSS Attacken in allen Ausführungen red ich ned mal, da wirds dann wirklich bitter. Das ganze kann bei in sich abgeschlossenen Systemen funktioniern, auf die man von außen nur über definiert Schnittstellen kommt. Bei Web Lösungen, vor allem selbst geschnitzte, zerreißt es einen insta. und ja, auch dafür gibts automatisierte Programme.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	21.12.2009 - 10:17 Hm. Es kommt mir vor als ob ich in ein Bienennest gestochen hätte. Viele scheinen sich an meiner Denkweise zu stören und meine Fragestellung wortwörtlich auszulegen und auseinander zu nehmen. Ich versuch mal nen Vergleich: Jemand der Auto fahren kann, kann Taxifahrer und Rennfahrer werden/ sein. Ein Rennfahrer ist aber nicht zwangsläufig ein geeigneter Taxifahrer, und umgekehrt. Viele Wege führen nach Rom, wie's so schön heisst. Welcher ist der 'Richtige'? Und vorallem: warum denn? ich habe weder zeit-, noch profitdruck. und das grundgerüst meiner lösungen wird seit jahren gepflegt und weiter entwickelt. alle löcher kann man nie stopfen, klar. das wäre gleich wie ne 'sichere firma'. so lange input nötig ist gibts risiken. Zitat von kleinerChemiker Handelt es sich jedoch um eine weit verbreitete Software (egal ob open source oder kommerziell) und eine publik gewordene Sicherheitslücke wird nicht rechtzeitig geschlossen, ist die Wahrscheinlichkeit daß Bots oder Skriptkiddies die Lücke ausnutzen ungleich größer. ...das ist mein Denkansatz. Viele mir bekannte 'Webdesigner', die 'gerade so' PHP-Scripts installieren/konfigurieren können, verkaufen OpenSource Lösungen an Ihre Kunden. Bei den Kleinst- und Kleinbetrieben ist oft nicht mehr Kapital verfügbar. Daher wird auch so gut wie nie ein Wartungsvertrag abgeschlossen. Und wenn dann die OS-Lösung ne Lücke hat kann man mit Google ne Suche starten und alle betroffenen Webseiten ausfindig machen und 'einbrechen'. Please: BTT PS: Einen SQL-Injection Angriff hatte ich letzte Woche auf den Shop. Gott sei Dank hatten Sie keine Chance einzudringen. Nur der Server war 'etwas überlastet' mit der Flut der gleichzeitigen Anfragen (wahr wohl ein Botnet).
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	21.12.2009 - 10:47 Zitat von semteX was soll security by obscurity bringen? die obscurity ist bei ner webapp imho lächerlich. man suche sich eingabeparameter und schon gehts los. dank der fehlermeldungen weiß ma recht schnell "was zieht". und spätestens wennst wo ne sql injection offen hast, weils einen form input zerreißt, is sowieso alles vorbei. Von XSS Attacken in allen Ausführungen red ich ned mal, da wirds dann wirklich bitter. Das ganze kann bei in sich abgeschlossenen Systemen funktioniern, auf die man von außen nur über definiert Schnittstellen kommt. Bei Web Lösungen, vor allem selbst geschnitzte, zerreißt es einen insta. und ja, auch dafür gibts automatisierte Programme. Ehrlich, SQL injection ist ein dermaßen alter hut, wenn man ein Script nicht dagegen absichert gehört man eh schon aufgehängt als Programmierer. Da könntest ja auch mit register_globals argumentieren. Jede Weblösung hat eine besser definierte Schnittstelle als jedes Anwenderprogramm - mit direktem Speicherzugriff ist da nichts, der User hat nur eine sehr geringe Interaktionsmöglichkeit (Links/etwaiges AJAX), ALLES kann aussschließlich über den Socket zum Server kommen, das Protokoll ist hoch genug dass man sich mit Übertragungsfehlern nicht befassen machen muss (=man kann alles was einem nicht geheuer vorkommt getrost abblocken), viel schöner kanns gar nicht sein.
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14594	23.12.2009 - 14:48 Zitat von watchout Ehrlich, SQL injection ist ein dermaßen alter hut, wenn man ein Script nicht dagegen absichert gehört man eh schon aufgehängt als Programmierer. Da könntest ja auch mit register_globals argumentieren. Jede Weblösung hat eine besser definierte Schnittstelle als jedes Anwenderprogramm - mit direktem Speicherzugriff ist da nichts, der User hat nur eine sehr geringe Interaktionsmöglichkeit (Links/etwaiges AJAX), ALLES kann aussschließlich über den Socket zum Server kommen, das Protokoll ist hoch genug dass man sich mit Übertragungsfehlern nicht befassen machen muss (=man kann alles was einem nicht geheuer vorkommt getrost abblocken), viel schöner kanns gar nicht sein. du redest vom idealfall, ich von der praxis.
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	23.12.2009 - 16:26 Inwiefern rede ich vom Idealfall?
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14594	23.12.2009 - 17:03 nunja, du tust so, als ob jede web app eh zu 100% sicher sein muss, is ja alles überhaupt kein problem. die praxis sieht eben _stark_ anders aus
BiG_WEaSeL Super Moderator - Registered: Jun 2000 Location: Wien Posts: 8279	23.12.2009 - 17:09 bitte löse es per graceful degradation und zwar dem kunden, und dem kunden der kunden gegenüber. Vergiss nicht: Es soll nicht deinem Auftraggeber gefallen, sondern den Kunden deines Auftraggebers.
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	24.12.2009 - 03:40 Zitat von semteX nunja, du tust so, als ob jede web app eh zu 100% sicher sein muss, is ja alles überhaupt kein problem. die praxis sieht eben _stark_ anders aus Das war nicht meine Absicht, ich wollte nur deiner Aussage widersprechen dass Webapplikationen kein klar definiertes Interface haben, was ein Programmierer daraus macht ist seine Sache.

AJAX: User ohne JavaScript einfach 'ausschließen'?

Forum Index > Software > Coding Stuff

semteX

Bogus

watchout

semteX

watchout

semteX

BiG_WEaSeL

watchout