veiligheid van een forum, te garanderen of niet? - Internet en hosting

vrijdag 6 oktober 2006 11:28

Acties:

Topicstarter

ik wil voor mijn bedrijf een online forum draaien, echter ik wil de garantie kunnen geven dat de inhoud (uiteraard besloten) ook besloten blijft. hoe krachtig een forum appl. wbt veiligheid? maw kan een sql database met gegevens ed simpel gekraakt worden? en hoe is dit eventueel op te lossen?

vrijdag 6 oktober 2006 11:29

Acties:

Marzman

They'll never get caught.

Als je het forum op een interne server draait kan de buitenwereld er toch niet bij? Of ben je bang dat mensen het van binnenuit kraken?

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

vrijdag 6 oktober 2006 11:43

Acties:

Tennisbal

Topicstarter

Marzman schreef op vrijdag 06 oktober 2006 @ 11:29:
Als je het forum op een interne server draait kan de buitenwereld er toch niet bij? Of ben je bang dat mensen het van binnenuit kraken?

probleem is dat dat niet mogelijk is. ofwel ik moet het via een internetsite runnen. helaas

vrijdag 6 oktober 2006 11:48

Acties:

TrailBlazer

Karnemelk FTW

Ik neem aan dat je loaktie via een vast aantal ip adressen naar buiten gaat. Als je gewoon een harde check op het ip adres doet in je PHP script is dit al een redelijke beveiliging. Je zou dit natuurlijk eigenlijk op een firewall moeten doen maar het is een begin.

vrijdag 6 oktober 2006 11:49

Acties:

Tennisbal

Topicstarter

TrailBlazer schreef op vrijdag 06 oktober 2006 @ 11:48:
Ik neem aan dat je loaktie via een vast aantal ip adressen naar buiten gaat. Als je gewoon een harde check op het ip adres doet in je PHP script is dit al een redelijke beveiliging. Je zou dit natuurlijk eigenlijk op een firewall moeten doen maar het is een begin.

goeie tip alvast! ik zal het informeren!

vrijdag 6 oktober 2006 11:56

Acties:

sariel

tennisbal schreef op vrijdag 06 oktober 2006 @ 11:43:
[...]

probleem is dat dat niet mogelijk is. ofwel ik moet het via een internetsite runnen. helaas

Waarom is het niet mogelijk? Is er niet een derde rangs pc over die aan het netwerk geplugd kan worden?

Copy.com

vrijdag 6 oktober 2006 12:00

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Het klinkt misschien flauw maar 100% veiligheid is nooit te garanderen simpelweg omdat het niet bestaat. Ik denk dat je jezelf beter kunt afvragen hoe je naar alle redelijkheid er voor kunt zorgen dat de website veilig is. Kijk naar de zeer beveiligde omgevingen van banken, ook daar gaat wel eens iets mis.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 6 oktober 2006 12:06

Acties:

TRON

Als de SQL-database alleen maar via de localhost beschikbaar is, wordt het toch al moeilijk om daar in te komen.

Het grootste gevaar zal in de forumsoftware zitten. Bij veel bekende pakketten willen er nog wel met regelmaat exploits opduiken.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

vrijdag 6 oktober 2006 12:22

Acties:

Verwijderd

als je weinig van databases, forums, veiligheid weet.... dan blijft het uitkijken.
De gratis PHP-Nuke die veel gebruikt wordt, moet je aardig dichttimmeren.. want die wordt nogal eens een keer gehackt. Veelal omdat de laatste patches nog niet uitgevoerd zijn, maar het blijft een wedloop tegne de hacker...

vrijdag 6 oktober 2006 13:21

Acties:

Punica-

Mensen, niet te moeilijk denken

Hele forum gewoon achter .htaccess proppen

.

zondag 8 oktober 2006 12:36

Acties:

Tennisbal

Topicstarter

Punica- schreef op vrijdag 06 oktober 2006 @ 13:21:
Mensen, niet te moeilijk denken

Hele forum gewoon achter .htaccess proppen .

wat bedoel je met htaccess?

zondag 8 oktober 2006 12:45

Acties:

Verwijderd

Punica- schreef op vrijdag 06 oktober 2006 @ 13:21:
Mensen, niet te moeilijk denken

Hele forum gewoon achter .htaccess proppen .

Niet te makkelijk denken. Er zijn meer dan genoeg manieren om slecht geschreven forumsoftware te misbruiken, ook als dat met een .htaccess beveiligd is. Dat laatste zegt uiteraard helemaal niks, zeg dan ook even wat je precies bedoelt, access control? authenticatie? autorisatie? allemaal vrij makkelijk te omzeilen met forumsoftware die kwetsbaar is voor cross-site scripting.

zondag 8 oktober 2006 14:19

Acties:

eghie

Spoken words!

Wat ik "altijd" doe voor de zekerheid, is een .htaccess maken en een robots.txt. In de .htaccess zorg ik er dan voor dat er geen toegang is voor bestanden die ik alleen maar include. Het config bestand scherm ik er ook altijd mee af. En ik zorg ervoor dat "gevaarlijke" en "irritante" php functies uit staan. Voorbeeld van een .htaccess:

code:

# Install APC for caching
# command line: pecl install apc

Options -Indexes +MultiViews +FollowSymlinks

<Files ~ "^\.ht">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

<Files ~ "\.inc$">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

<Files ~ "\.inc.php$">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

<Files ~ "\.log$">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

php_flag magic_quotes_gpc off
php_flag allow_url_fopen off
php_flag register_globals off

En een robots.txt met iets als:

code:

1 2	User-Agent: * Disallow: /

Zorg er ook voor dat de SQL database alleen lokaal bereikbaar is. En draai de webserver in een chroot/jail omgeving. En als je Apache2 draait zal ik ook mod-security installeren en hem goed afschermen. Zo kun je iig slechte software toch een beetje afschermen.