Kommentare für Technik, Gothic und Anderes

Kommentar zu PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)! von skaldrom

skaldrom — Thu, 18 Apr 2013 07:55:00 +0000

Mein Flammenwerfer ist ziemlich eingerostet, aber für das hier reicht er noch.

Ich beurteile die Leute vor allem danach wie sie sich benehmen, und Du hast Dich hier unfreundlich und beleidigend eingeführt.

Es gibt feine Unterschiede zwischen “total anonym” und “mit Pseudonym”. Hättest Du eine Mailadresse hinterlassen, hätten wir das nichtöffentlich (mit Pseudonym wenn Du möchtest) ausdiskutieren können. Aber da kann man sich nicht so schön aufplustern, gell.

Nun noch ganz kurz zur Sache, obwohl ich nicht glaube dass Du wirklich an einer Fachdiskussion interessiert bist: Klar muss man die Eingaben filtern, aber um das geht es hier nicht zentral. Das Thema war, dass es Beispiele gibt, bei denen PHP_SELF für die Form-Action verwendet wird und dass das nicht gut ist. Es wird auch eine funktionierende und sichere Lösung gezeigt. Es tut mir Leid, wenn Du Dich hier übergangen gefühlt hast.

Mehr möchte ich dazu nicht mehr sagen und ich werde diese öffentliche Diskussion hier abbrechen. Wenn Du konstruktiv diskutieren willst, hinterlass doch bitte eine Mailadresse.

Kommentar zu PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)! von Gast

Gast — Thu, 18 Apr 2013 22:22:00 +0000

Unter einem Pseudonym haben meine Worte keine Bedeutung für dich, Herr “Skaldrom”? Zum Argumentieren benötigst du meinen Namen nicht (ich bin übrigens der einzige hier unter dem Pseudonym “Gast” – sollte eigentlich nicht so schwer sein mich von anderen zu unterscheiden) und Deutsch ist tatsächlich nicht meine Muttersprache (falls du andere Menschen danach beurteilst). Aber es ist interessant welche Ausreden sich Leute ausdenken wenn sie keine Argumente mehr haben. Es ist tatsächlich so – das Erste was man lernt ist: Traue keinen Benutzereingaben / Daten immer validieren. Hält man sich daran, gibt es auch kein Problem mit PHP_SELF. PHP_SELF ist auch nicht das Problem, denn es tut genau das was es soll, sondern der Programmierer der ohne nachzudenken alle Daten ungefiltert passieren lässt. Dein Ansatz im Artikel greift an falscher Stelle. Trauriger ist es, dass du scheinbar selbst erkennst dass es Anfängerwissen ist, es aber an keiner Stelle erwähnst und stattdessen denn Leuten den falschen Weg zeigst.
Und ja, ich bin Informatiker…

Eine Gegenfrage: Was machst du bei globalen Variablen wie _POST, die viel häufiger bei Angriffen eingesetzt werden? Nutzt du sie ebenfalls nicht oder filterst du sie – und wenn du sie filterst, warum machst du das dann bei PHP_SELF anders? Ich wäre an deiner Begründung wirklich interessiert, denn mir erschließt sich deine Vorgehensweise bis jetzt leider nicht.

Kommentar zu PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)! von skaldrom

skaldrom — Thu, 18 Apr 2013 10:35:00 +0000

Vielen Dank für Deine Erleuchtung Du mächtiger anonymer Informatiker. Ich hoffe, Deutsch ist nicht Deine Muttersprache, denn bei Leseverständnis und Artikulation gibt es bei Dir noch Potential zu verwirklichen.

Ich hätte ja gerne etwas zum Inhalt entgegnet, aber Du stehst nicht mit Deinem Namen dazu und das zeigt mir um was es geht: Allgemeinplätze eines Anfängerkurses hinrotzen und abhauen. *gähn*.

Kommentar zu PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)! von Gast

Gast — Thu, 18 Apr 2013 10:25:00 +0000

Hm?
- Was ist besser: Infos von Aussen, escaped: PHP_SELF
- Infos, die gar nicht vom bösen Internet berührt werden: SCRIPT_NAME

Deine Lösung geht so auch, ich empfinde sie aber als suboptimal ohne Zusatznutzen.

Weil du dich mit Sicherheitskonzepten und den Protokollen scheinbar nicht auskennst. Ausnahmslos alle externen Informationen müssen immer validiert werden. Es spielt dabei überhaupt keine Rolle woher diese Informationen kommen oder wo sie gespeichert werden. Du scheinst den Zweck dieser beiden Variablen auch nicht wirklich zu kennen. Stattdessen setzt du auf die eine Variable von der du keine Angriffsmöglichkeiten kennst und hoffst einfach, dass das auch so bleibt. Du vermittelst den Leuten ein falsches Denken was die Sicherheit im Internet angeht. Es ist grundsätzlich richtig fremde Daten korrekt zu filtern anstatt die entsprechende Technik einfach zu meiden. Nichts ist sicher und PHP_SELF ist nur eine von vielen Variablen. Die anderen schmeißt du ja auch nicht raus sondern filterst sie.

Hast Du GET-Parameter (die mit ? &) in der Action-URL? Auch das ist definitiv nicht nach Standard.
Das ist völlig irrelevant (in mehrfacher Hinsicht). Dann tippt man die URL eben direkt rein. Auch hier zeigt sich, dass du das HTTP-Protokoll nicht wirklich verstehst. Natürlich ist es (ein) Standard Parameter in die URI zu schreiben. Du machst allerdings den Fehler von HTML als Quelle auszugehen (wie die meisten Leute) und vergisst, dass HTTP und PHP überhaupt nichts mit HTML zu tun haben, was die Frage nach Standard / Nicht-Standard überflüssig macht.

Ich hoffe für dich, dass du kein Informatiker bist…

Kommentar zu Website mit Java-Programmieraufgaben, die automatisch korrigiert werden von skaldrom

skaldrom — Thu, 18 Apr 2013 16:12:00 +0000

Ja, den kenne ich! Ein super Programm, aber für uns zu komplex um schnell mal ein paar Anpassungen machen zu können.

Kommentar zu Website mit Java-Programmieraufgaben, die automatisch korrigiert werden von Leon

Leon — Thu, 18 Apr 2013 13:12:00 +0000

Sowas ähnliches wird im größeren Stil auch schon seit längerem von einigen Unis eingesetzt. So können automatisiert die Programmieraufgaben der Studenten bewertet werden. Nennt sich “Praktomat”, kannst ja mal googeln bei Interesse.

Kommentar zu PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)! von Misterunknown

Misterunknown — Thu, 18 Apr 2013 02:06:00 +0000

Ich muss meinem Kommentar noch etwas hinzufügen: Viele Webhoster, vor allem Massen-Webhoster, lassen CGI-PHP laufen. In dem Falle ist diese XSS-Methode wieder möglich. Falls man selbst einen Webserver betreibt, oder zumindest Einfluss darauf hat, dass PHP als Modul des Apache läuft, besteht die Gefahr nicht; jedenfalls nicht in der Standardeinstellung.

Da man aber grundsätzlich auch mal von einem Server auf einen anderen umziehen kann oder ähnliches ist es grundsätzlich immer richtig auf PHP_SELF zu verzichten.

Kommentar zu Upload und Speichern von Dateien in einer DB mit einer C# ASP.NET MVC Applikation von skaldrom

skaldrom — Thu, 18 Apr 2013 13:39:00 +0000

Das freut mich sehr!

Kommentar zu Upload und Speichern von Dateien in einer DB mit einer C# ASP.NET MVC Applikation von Minkner

Minkner — Thu, 18 Apr 2013 10:04:00 +0000

Ich werde den Quellcode für meine zukünftige Projekte nutzen!

Kommentar zu Ein Video (AVI) unter linux rotieren von Hampas Blog

Hampas Blog — Thu, 18 Apr 2013 23:39:00 +0000

Ein Video (AVI) unter linux rotieren…

Mit dem Fotoapparat schnell ein Filmchen gemacht und nach dem Download auf den Computer feststellen müssen, dass das Gerät falsch herum gehalten worden ist. Mist. So meiner Frau heute passiert. Auf dem Blog von Skaldrom bin ich fündig geworden. Mit dem…