Beitrag von Claus S. (1671 Beiträge) am Montag, 29.Januar.2001, 17:17.
@Christoph - Frage wg. Sicherheit
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Montag, 29.Januar.2001, 17:24.
Re: @Christoph - Frage wg. Sicherheit
Hab noch nicht ganz verstanden, was das Problem ist: Also Du hast das Beispiel aus der Bibliothek mit dem Passwortschutz genommen, oder geht das auch mit einfachen/normalen Datenbanken? Was genau machst Du dann und wo ist die Sicherheitslücke? Gibts da ein Beispiel und kannst Du da den Aufruf hier reinschreiben?
Antworten
Beitrag von Claus S. (1671 Beiträge) am Montag, 29.Januar.2001, 18:09.
Re: @Christoph - Frage wg. Sicherheit
Hallo,
habe mich vielleicht nicht richtig ausgedrückt oder die ganze sache noch nicht verstanden. ich versuchs nochmal :
wenn ich in meiner datei alle berechtigungen setze, dann kann doch jeder ran, d.h. auch wenn ich kein template zum erfassen,ändern,löschen zur verfügung stelle, sondern nur eins zum anzeigen, brauche ich doch nur die url aus der statuszeile aufzurufen, etwas verändern und schon bin ich in der bp-dateiverwaltung der entsprechenden datei.
oder habe ich da einen knoten im hirn?
und dann war da noch die frage nach der session-id,
kapier ich nicht.
gruss claus
Antworten
Beitrag von fb (420 Beiträge) am Montag, 29.Januar.2001, 20:13.
Re: @Christoph - Frage wg. Sicherheit
Hallo Claus S,
he probiers doch einfach mal an Daten von anderen ranzukommen wenn Dus schaffst wissen wir mehr :-)
Bin mal gespannt :-) FB
Und wenns geht dann gibts bestimmt auch eine Lösung.
Antworten
Beitrag von fb (420 Beiträge) am Montag, 29.Januar.2001, 20:18.
Re: @Christoph - Frage wg. Sicherheit PS
Besseer richte doch mal ne seite ein auf der daten nur gelesen werden Dürfen und dann können ja alle mal Probieren die daten zu verändern :-))
Ja wettlauf bei BP
wers als erster schafft kriegt??
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 30.Januar.2001, 22:18.
Re: @Christoph - Frage wg. Sicherheit
Nein, also in die Dateiverwaltung kommst Du ohne Anmeldung nicht - oder hast Du da eine Möglichkeit gefunden? Bedeutet dass das "etwas verändern"? Oder ist das mehr hypothetisch?
Falls ersteres: Was konkret musst Du denn verändern um dann in die Dateiverwaltung zu kommen?
Ansonsten wäre der von fb vorgeschlagene Wettbewerb ganz lustig ;-)
Antworten
Beitrag von Claus S. (1671 Beiträge) am Mittwoch, 31.Januar.2001, 00:11.
Re: @Christoph - Frage wg. Sicherheit
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 00:47.
Re: @Christoph - Frage wg. Sicherheit
Antworten
Beitrag von Martin F. (9 Beiträge) am Donnerstag, 1.Februar.2001, 01:03.
Re: @Christoph - Frage wg. Sicherheit
Also das ist ja wirklich verwirrend hier ...
Aber ich glaube, was Claus meint, ist relativ einfach zu erklären. Er hat ja das mit der Session-ID nicht richtig verstanden. Was er, glaube ich, meint, ist, daß nach einem Login bei bp in einem geöffneten Browser er auch durch Eingabe des angezeigten URL in der Adressleiste auf die Datei zugreifen kann, ohne sich erneut einloggen zu müssen. Das ist die Sache mit der Session-ID. Die wird dann entweder neu vergeben, wenn der Browser neu getartet wird (solange bleibt sie im Browser-Cache gespeichert - das funktioniert, glaube ich, so bei bp) oder nach Ablauf einer gewissen Zeit. Erst wenn die Session-ID also abgelaufen ist, muß man sich erneut einloggen, auch wenn man den entsprechenden URL direkt im Browser eingibt. Und dann wird erst wieder dynamisch eine neue vergeben, die nur für entsprechende Sitzung oder bis zum nächsten Browserstart gültig ist.
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 01:19.
Re: @Christoph - Frage wg. Sicherheit
Aha... Na gut, aber dann ist ja alles Ok, oder ist das eine Sicherheitslücke? (sich fragend am Kopf kratz)
Antworten
Beitrag von Martin F. (9 Beiträge) am Donnerstag, 1.Februar.2001, 01:40.
Re: @Christoph - Frage wg. Sicherheit
Nein, natürlich nicht. Es sei denn, der User läßt bei aktiver SID seinen Arbeitsplatz unbeaufsichtigt und Andere nehmen Änderungen durch Eingabe an seinem Rechner vor. Aber dafür könntest Du ja nichts ;))
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 12:57.
Re: @Christoph - Frage wg. Sicherheit
Ahhhhhhh... Jetzt langsam versteh ich erst worums geht ;-) Hat n bisschen länger gedauert...
Aber das was Claus geschrieben hat klang noch nach was anderem - also er meldet sich an und ändert dann bei den Parametern den Datenbanknamen und hat dann darauf Zugriff - ist das so richtig?
Antworten
Beitrag von Claus S. (1671 Beiträge) am Donnerstag, 1.Februar.2001, 14:56.
Re: @Christoph - Frage wg. Sicherheit
uiuiui, da habe ich eine flächenbrand losgetreten ;-)
dacht, hätte mit der letzten antwort entwarnung gegeben. und mit der sid hat das nichts zu tun.
in meinen anfangszeiten mit bp hatte ich die datei mit seite erstellt, danach erst die templates und die sind jetzt in die homepage integriert, und da kann jeder ran (aber nicht erfassen und löschen). die ursprünglich angelegte seite ist aber noch da und damit erfasse ich meine daten. und da die seite heisst wie die datei und alle berechtigungen gesetzt sind .........
http://www.baseportal.de/cgi-bin/baseportal.pl?htx=/gpark/gpurl
und ausserdem muss man ja auch erstmal den namen rauskriegen. habe da wohl zuviel um die ecke gedacht.
sorry
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 1.Februar.2001, 20:48.
Re: @Christoph - Frage wg. Sicherheit
Naja, Sicherheit ist halt wichtig...
Wenn Du bei "Datenbank / Verwaltung" die Rechte nicht entsprechend setzt kommt keiner ohne PW an Deine Datenbank ran. Punkt. (Hoff ich doch ;-) )
Antworten