AW: [OT] Problem mit der Übergabe voninhalten von forms unter apache2

[Igor <Bo...@gmx.de>]

-----Ursprüngliche Nachricht-----
Von: Henning Weier [mailto:hweier@freenet.de]
Gesendet: Mittwoch, 25. September 2002 20:44
An: users-de@httpd.apache.org
Betreff: Re: [OT] Problem mit der Übergabe von<input>inhalten von forms
unter apache2


Hallo!

Am Mit, 2002-09-25 um 20.35 schrieb Steffen"GaRaOne"Schulze:
> auch wenn es nicht zum thema der mailingliste gehört...
> welche risiken hat es, wenn ich erstmal auf ON stelle...
>
> weil das umschreiben wird nen weilchen dauern...

Ich bin kein Sicherheitsexperte und bin erst ein paar Mal auf so einen
Fall gestoßen.Und es kommt auf jeden Fall auf die Anwendung an. Wenn Du
z.B. Authentifizierung per Sessions machst und eine Variable in der
Session übergibst, die festlegt, ob der User sich authentifiziert hat
(das Password will man ja wohl nicht immer übergeben), könnte man das
per http-Anweisung einfach überschreiben, indem man ein ?variable=wert
an die URL anhängt... Das geht jetzt nicht mehr, wenn Du sie nicht als
$_GET['variable] abrufst. Nur als Beispiel.

Du musst wohl selbst wissen, ob das für Dich gefährlich ist oder nicht.

Viele Grüße
Henning

-------------------------------------

Hi!

Ich benutze bei mir auf dem Server auch PHP mit RegisterGlobals ON und habe
bisher noch keinerlei Probleme gehabt.
Das Problem das Henning meint ist zwar richtig, allerdings muss der
"Angreifer" natürlich auch erstmal deine Variablen kennen.
Ich denke es kommt darauf an wofür du es nutzen willst. Ist es für
E-Commercce, dann schreibe lieber alles um, aber wenn du damit nur wie in
meinem Falle nen Chat, oder halt ein Forum laufen lässt denke ich dass sich
der Aufwand dafür nicht lohnt.
Wie aber von Henning schon gesagt, letztendlich liegt die Entscheidung
alleine bei dir.


In diesem Sinne,
live long and prosper

Igor Puschner

www.chatpipe.de