
	Navigation: FAQ

Viren und 0900-Dialer


	Wichtige Links

Webmailer

Mailinglisten (Ilpostino)

PHProjekt

JPBerlin Admin-Logbuch


	Volltextsuche


	Aktueller Status


	Alles OK.


	Der JPBerlin-Support

Telefon: 030/40 50 51 - 20
(Mo-Fr 9-18 Uhr)

support@jpberlin.de (Mo-So)

Wichtige Sicherheitshinweise für PHP-Programmierer

Es scheint ein Leichtes zu sein, mal eben selbstgezimmert ein paar Webseiten mit PHP ins Netz zu stellen. Doch oft genug fehlt es privaten wie professionellen Webseiten am nötigen Hintergrundwissen über sichere PHP-Programmierung.

Fehler in PHP-Scripten können jedoch ganz schnell zu ernsthaften Sicherheitslücken heranwachsen, wenn ein Angreifer durch eine falsche Behandlung von Variablen einen beliebigen Zugriff auf die Dateien der Webseite hat -- und damit auch Zugriff auf eigentlich geschützte Verzeichnisse, MySQL-Kennwörter oder andere Systemdateien des ganzen Servers.

Aus diesem Grunde sind bei den JPBerlin-Servern einige restriktive Sicherheitseinstellungen aktiv. Diese können zum Teil jedoch nur dafür sorgen, dass ein Angreifer nicht Zugriff auf den kompletten Webserver bekommt, er hat jedoch weiterhin Zugriff auf die lokalen Dateien der Domain, die schlecht programmierten PHP-Code benutzt.

Aus diesem Grunde ist es Sache jeden PHP-Programmierers sich Gedanken um einen sicheren Code, allen voran um eine vernünftige Behandlungen von Variablen zu kümmern.

Die beiden nachfolgenden Links sind darum ein MUSS für PHP-Programmierer:

http://www.php.net/manual/de/security.globals.php

http://www.php.net/manual/de/security.variables.php

Bei der JPBerlin ist "register_globals" auf "off" gestellt, darüber hinaus ist "safe_mode" aktiv, diverse heikle Zugriffe wie "system" oder "exec" sind nicht erlaubt und eine "open_basedir"-Einstellung ist aktiv, die den Zugriff auf das Verzeichnis der Webseiten beschränkt (und an diesen Sicherheitseinstellungen wird auch nicht rumdiskutiert).


	Sicherheitslücke in Timthumb macht Blogseiten angreifbar


	Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren. Quelle: http://www.golem.de/1108/85446.html


	Hintertür in populären WordPress-Plug-ins


	Eine in drei populären Plug-ins entdeckte Hintertür hat die WordPress-Entwickler dazu bewogen, alle Passwörter für WordPress.org zurückzusetzen und den Zugriff auf die Erweiterungsrepositories zu sperren. Wie die Hintertüren in AddThis, WPtouch und W3 Total Cache gelangt sind, ist noch unklar. Bislang nimmt man an, dass nicht die Entwickler selbst sie eingebaut haben, sondern Angreifer an deren Zugangsdaten für die Konten gelangt sind und im Repository den Code manipulierten. Wie die Unbekannten an die Daten gekommen sein könnten, schreiben die Betreiber von WordPress.org nicht. Man untersuche den Fall derzeit noch, sicherheitshalber habe man jedoch ein Passwort-Reset durchgeführt – dies betrifft auch die Seiten bbPress.org und BuddyPress.org. Die Backdoors in den Plug-ins sollen sehr gut getarnt gewesen sein. Die WordPress-Entwickler haben die alten Versionen ohne Backdoor in die Repositories wieder zurückgespielt. Wer die genannten Plug-ins nutzt und in den letzten Tagen aktualisiert hat, sollte die Update-Seite erneut besuchen und die dort angebotene Version erneut installieren. Damit sollen die potenziellen Backdoors wieder aus dem System verschwinden – sofern ein Angreifer nicht bereits ins System eingedrungen ist und weitere Zugänge etabliert hat. (dab) Quelle: http://www.heise.de/newsticker/meldung/Hintertuer-in-populaeren-WordPress-Plug-ins-1265218.html


	E-Mail-Injection

Immer mehr Webseiten mit Mailformularen werden von Spammern zum Versand von unerwünschten Mails missbraucht. Wie das funktioniert und was man dagegen tun kann...


	Automatischer SPAM-Filter

In der JPBerlin ist ein automatischer SPAM-Filter für jeden Mailaccount aktiv. Mit Beantragung eines Kontos erklärt sich der Nutzer mit diesem SPAM-Schutz ausdrücklich einverstanden.