Kommentare zu: Richtiger Umgang mit Passwörtern http://www.phphatesme.com/blog/sicherheit/richtiger-umgang-mit-passwortern/ PhpHatesMe, but that's ok! Mon, 06 Feb 2012 20:59:49 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: unset http://www.phphatesme.com/blog/sicherheit/richtiger-umgang-mit-passwortern/comment-page-1/#comment-847 unset Sat, 20 Dec 2008 19:02:49 +0000 http://www.phphatesme.com/?p=1458#comment-847 Man muss ja nicht unbedingt ein var_dump einschleusen, man muss evtl. nur sagen, was geanuer unter die Lupe genommen werden soll. Ich denke da an unsaubere "toJSON"-methoden o.Ä. Das Argument "wenn Fall X eintritt, hat man größere Probleme als Fall Y" habe ich früher auch immer wieder angewandt. Das blöde ist nur, wenn die großen Probleme weg sind, hat man dann immer noch die kleinen, die man vorher als so unwichtig erachtet hat. Insofern sollte man da vorsichtig sein :-) Im großen und ganzen Stimme ich euch beiden zu. Sinnloses speichern ist aus mehreren Sichten quatsch. Auf der anderen Seite gibt es aber auch Stellen, die vorher abgeschert werden sollten. Datenbankzugriff limitieren, IP-Bereiche whitelisten, etc. Man muss ja nicht unbedingt ein var_dump einschleusen, man muss evtl. nur sagen, was geanuer unter die Lupe genommen werden soll. Ich denke da an unsaubere “toJSON”-methoden o.Ä.

Das Argument “wenn Fall X eintritt, hat man größere Probleme als Fall Y” habe ich früher auch immer wieder angewandt. Das blöde ist nur, wenn die großen Probleme weg sind, hat man dann immer noch die kleinen, die man vorher als so unwichtig erachtet hat. Insofern sollte man da vorsichtig sein :-)

Im großen und ganzen Stimme ich euch beiden zu. Sinnloses speichern ist aus mehreren Sichten quatsch. Auf der anderen Seite gibt es aber auch Stellen, die vorher abgeschert werden sollten. Datenbankzugriff limitieren, IP-Bereiche whitelisten, etc.

]]> Von: robo47 http://www.phphatesme.com/blog/sicherheit/richtiger-umgang-mit-passwortern/comment-page-1/#comment-845 robo47 Sat, 20 Dec 2008 18:56:45 +0000 http://www.phphatesme.com/?p=1458#comment-845 Hmm, ich denke wenn jemand es schafft dir irgendwo ein var_dump() einzuschleusen, dann ist eh bereits alles zu spät, weil dann kann er mit einer sehr hohen Wahrscheinlichkeit auch anderen Code ausführen. Ausserdem setzt der weg über var_dump() vorraus, dass die eingesetzte Applikation irgendwoher dein "Design" kennt, weil sonst weis man ja nicht was man dumpen soll. Wenn eh der komplette Code des Systems bekannt ist, kann man auch direkt das Array/Objekt der Config ausgeben lassen oder direkt die Config-Datei. Auch wenn es vielleicht eher nicht alltäglich ist, aber was es auch beispielsweise verhindert ist, dass das Datenbank-Objekt an irgendeiner Stelle serialisiert wird um in einem anderen Scriptaufruf entserialisiert zu werden und wieder eine Verbindung aufzubauen ... warum auch immer man das tun will :) Hmm,
ich denke wenn jemand es schafft dir irgendwo ein var_dump() einzuschleusen, dann ist eh bereits alles zu spät, weil dann kann er mit einer sehr hohen Wahrscheinlichkeit auch anderen Code ausführen.

Ausserdem setzt der weg über var_dump() vorraus, dass die eingesetzte Applikation irgendwoher dein “Design” kennt, weil sonst weis man ja nicht was man dumpen soll. Wenn eh der komplette Code des Systems bekannt ist, kann man auch direkt das Array/Objekt der Config ausgeben lassen oder direkt die Config-Datei.

Auch wenn es vielleicht eher nicht alltäglich ist, aber was es auch beispielsweise verhindert ist, dass das Datenbank-Objekt an irgendeiner Stelle serialisiert wird um in einem anderen Scriptaufruf entserialisiert zu werden und wieder eine Verbindung aufzubauen … warum auch immer man das tun will :)

]]>