Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Online-Kundenverwaltung und Sicherheit

Mitglied: nizeboy

nizeboy (Level 1) - Jetzt verbinden

06.05.2008, aktualisiert 12.05.2008, 4352 Aufrufe, 10 Kommentare

Ich erstelle momentan ein Webportal für Mitarbeiter eines Dienstleistungs-Unternehmens (Außendienst!). Dieses Portal dient zur Kundenverwaltung und Abrechnungserstellung. Hierzu habe ich einige Fragen bzgl. Sicherheit:

1. Ist es eine Schandtat solch ein System online verfügbar zu machen?
2. Wie prüfe ich mein System auf Sicherheit?
3. Was passiert, wenn sich jemand ins System reinhackt? Haftungsausschluss, etc...?
4. Welche Daten sollten wenn möglich nicht in einer Datenbank abgelegt werden?


Vielen Dank!

[EDIT masterG 07.05.08 17:32]:
Verschoben nach Web Entwicklung
Mitglied: 51705
06.05.2008 um 21:00 Uhr
Hallo nizeboy,

1. Ist es eine Schandtat solch ein System
online verfügbar zu machen?
2. Wie prüfe ich mein System auf
Sicherheit?
3. Was passiert, wenn sich jemand ins System
reinhackt? Haftungsausschluss, etc...?
4. Welche Daten sollten wenn möglich
nicht in einer Datenbank abgelegt werden?

5. Gibt es ein Lastenheft?
6. Gibt es ein aus dem Lastenheft erstelltes Pflichtenheft?

Grüße, Steffen
Bitte warten ..
Mitglied: megacarsIT
06.05.2008 um 22:06 Uhr
Hallo!!

Zu
1) Denk doch über VPN nach!? So brauchst nicht in der öffentlichkeit online zu stellen.
Welche Zugangsmöglichkeiten haben die Aussendienstler?

4) Was meinst Du damit genau??



Gruss,
megacarsIT
Bitte warten ..
Mitglied: spacyfreak
06.05.2008 um 22:16 Uhr
Wenn man solch sensible Dinge über ein Webinterface abwickeln will würde ich das auf jeden Fall von Web-Profis machen lassen. Der Server muss auch regelmässig gewartet / upgedatet werden.
Andere Lösung wäre wie bereits erwähnt VPN oder eine SSL-VPN Variante. Letztere sind sehr empfehlenswert um interne Webserver dahinter zu verstecken und dennoch dem Benutzer einen sehr einfachen und dennoch sicheren Zugriff zu ermöglichen.
Ja, ich würde das auf jeden Fall über eine SSL-VPN Lösung absichern.
Bitte warten ..
Mitglied: nizeboy
06.05.2008 um 23:23 Uhr
Hey,

welche Voraussetzungen muss ich für SSL-VPN erfüllen? Einen frei konfigurierbaren Webserver? Oder reicht an Server von einem x-beliebigen Anbieter, der SSL Zertifikate vergibt (1&1, Strato, ...)?
Bitte warten ..
Mitglied: nizeboy
07.05.2008 um 00:22 Uhr
Nachtrag: wie lösen z.B. Banken das Sicherheitsproblem? Die nutzen doch auch "nur" SSL oder?
Bitte warten ..
Mitglied: spacyfreak
07.05.2008 um 23:09 Uhr
Nachtrag: wie lösen z.B. Banken das
Sicherheitsproblem? Die nutzen doch auch
"nur" SSL oder?

Das SSL ist auch garnicht das Problem.
Eine komplexe Webanwendung mit PHP, MySQL etc ist recht anfällig,wenn nicht von kundigen Profis erstellt. Crosssite-Scripting, SQL Injection etc etc.
Bitte warten ..
Mitglied: nizeboy
08.05.2008 um 13:19 Uhr
SSL dient z.B. zur Vermeidung von Session Hijack oder ausspähen von Daten.
Klar ist eine Webanwendung mit PHP relativ anfällig - aber das ändert nichts an der Tatsache, dass ich versuche, die Webanwendung möglichst sicher zu gestalten.
XSS, SQL Injections, Session Fixation, CSRF, ...

Auf dem Webserver wird alle 10min ein Backup auf versch. physikalischen Datenträgern gemacht, die 3 Wochen lang auf 10min genau zurückverfolgt werden können und ggf. wiederhergestellt werden kann.

Solange die Anwendung noch in der Entwicklung ist, kann ich auf Sicherheit besser achten, als wenn's zu spät ist ;) Und Erfahrung habe ich schon, nur eben nicht die langjährige PHP Erfahrung, sondern eben langjährige C++ Erfahrung.

Vielleicht gibt es da draussen im WWW auch eine Seite die sich nur mit PHP Sicherheit beschäftigt? Ich habe sie noch nicht entdeckt
Bitte warten ..
Mitglied: Creator1981
12.05.2008 um 09:01 Uhr
1. Ist es eine Schandtat solch ein System online verfügbar zu machen?
Nein
2. Wie prüfe ich mein System auf Sicherheit?
Ist nicht ganz einfach, weil man dafür auch die Angriffs möglichkeiten kenn muss.
3. Was passiert, wenn sich jemand ins System reinhackt? Haftungsausschluss, etc...?
Der Haftungsauschluss Interessiert niemanden. Ausbaden muss es eh die Firma.
4. Welche Daten sollten wenn möglich nicht in einer Datenbank abgelegt werden?
Flascher Frage. Es muss alles in der Db stehen was du für Applicationen benötigst.

Ich bin bistzer eines Windows Root Servers der jetzt ca. 2 Monate online ist.
Pro Tag habe ich ca. 20.000 Scans. Also irgendwelche Pots die Versuchen sich über PHPmyadmin anzumelden usw.
Um die Sicherheit zu erhöhen, habe ich bei mir jede möglichkeit verhindet, das man Irgend was übers Web Administrieren kann. Das hilft schonmal ungemein.

Bei der Entwicklung von PHP Aplicationen gillt immer:
Vertraue niemanden. Prüfe jedes verfluchte Formular Feld. Prüfe bei jedem Seitenaufruf die URL. Verwende auf jedenfall SSL bei Wichtigen daten. Ein Login ohne SSL bietet absolut keine Sicherheit.

Sessions ausschliesslich über Cookies abwickeln, da sonst Url klau auch eine Sicherheitslücke ist.

Verwende bei jedem String, der richtung Db geht immer mysql_real_escape_string().
Arbeite mit PHP5 und nicht mit PHP4.

Verwende nie mals die Funktion global().

Und so könnte ich wahrscheinlich noch lange weitermachen.

Wenn du erst angefangen hast dich mit PHP zu beschäftigen, dann lass es bleiben.
Bitte warten ..
Mitglied: spacyfreak
12.05.2008 um 10:06 Uhr
Selbst bei Einsatz von SSL ist die Sicherheit nicht unbedingt gegeben.
Mit Tools wie xxxx oder xxxxxx kann man mit zwei Klicks einen Webserver-Besucher "umlenken" und die Tools spucken sofort das Passwort aus das der User eingibt.
Das Raffinierte ist dass xxxx sich das Original Webserverzertifikat holt, daraus Informationen extrahiert und dem ahnungslosen Benutzer ein gefälschtes Zertifikat unterschiebt.
Das Zertifikat zeigt zwar Fehlermeldungen an- doch wenn der User einfach ok klickt, dann ist es zu spät. Die Vertrauenswürdigkeit des Webserverzertifikats sollte im Idealfall durch eine öffentl. zertifizierungsstelle wie Verisign beglaubigt sein.

Besonders an öffentl. WLAN Hotspots ist das schon riskant da man nicht weiss wer sich noch so alles im lokalen Netz tummelt. Paranoia bringt natürlich auch nix - doch wenn es um unternehmenskritische Anwendungen geht kann man garnicht paranoid genug sein.

Es ist schon massives Spezialwissen notwendig das immer wieder aktualisiert werden muss um komplexe und unternehmenskritische Webanwendungen zuverlässig abzusichern. Die beste Methode ist meiner Meinung nach den Webserver hinter einer SSL-VPN Lösung zu verstecken, da der Webserver in dem Fall überhaupt nicht direkt angreifbar ist.
Bitte warten ..
Mitglied: Creator1981
12.05.2008 um 10:43 Uhr
Selbst bei Einsatz von SSL ist die Sicherheit
nicht unbedingt gegeben.
Mit Tools wie xxxx oder xxxxxx kann man mit
zwei Klicks einen Webserver-Besucher
"umlenken" und die Tools spucken
sofort das Passwort aus das der User
eingibt.
Das Raffinierte ist dass xxxx sich das
Original Webserverzertifikat holt, daraus
Informationen extrahiert und dem ahnungslosen
Benutzer ein gefälschtes Zertifikat
unterschiebt.
Das Zertifikat zeigt zwar Fehlermeldungen
an- doch wenn der User einfach ok klickt,
dann ist es zu spät. Die
Vertrauenswürdigkeit des
Webserverzertifikats sollte im Idealfall
durch eine öffentl.
zertifizierungsstelle wie Verisign beglaubigt
sein.
Ich bin jetzt davon ausgegangen das das Zertifikate von einer Ofiziellen Stelle aus beglaubigt werden. Bei mir Geotrust.
Wie soll xxxx an das Zertifikate kommen?
Habe schon die eine oder andere Config gesehen wo sowas im Apache Root liegt, das ist sicherlich selten dämlich. Dann kann ich es auch gleich zum DW anbieten *XD
Außerdem sehe ich das so das dann auch eine Grobe fehlerhafte Administration des Servers vorliegt.

Es ist schon massives Spezialwissen
notwendig das immer wieder aktualisiert
werden muss um komplexe und
unternehmenskritische Webanwendungen
zuverlässig abzusichern. Die beste
Methode ist meiner Meinung nach den Webserver
hinter einer SSL-VPN Lösung zu
verstecken, da der Webserver in dem Fall
überhaupt nicht direkt angreifbar ist.

Das beudetet aber auch, das die Administration sehr aufwendig ist, und man sich mit Wildgewordenen Rechner von Mitarbeitern beschäftigen muss.

Diese Lösung in Mittelständigen Unternehmen anzuwenden führt zum absoluten Caos.
Außer jeder Außendienstmitarbeiter bekommt ein Notebook gestellt von dem er arbeiten kann, an diesem hat er natürlich kaum rechte.

Die Kosten sind dann aber auch nicht wech zu denken.

Ich denke mal das die Daten die er verwalten muss sich nicht weit unterscheiden von dem eines Onlineshops. Stell dir mal vor jeder Shop betreuer wäre so Paranoit und würde einen Tunnel erzwingen.

Angriffe auf einem Server sind immer nur dann möglich wenn ich meinen Server falsch eingerichtet habe, oder meine Application falsch entwickelt habe.

Das ist die einzige möglichkeiten die ich als Admin und/oder Entwickler beeinflussen kann.
Liegt eine Sicherheitslücke im z.b. Apache vor und es gibt noch kein Update dann bin ich machtlos.

Das es überhaupt Möglich ist einen Root Server zu Mieten ohne die Ausbildung dafür zu haben sehe ich Persönlich als grop Fahrlässig an. Aber das ist nur meine Bescheidene Meinung.
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools

Empfehlungen für mehr online Sicherheit für externe Mitarbeiter

Frage von istike2Sicherheits-Tools8 Kommentare

Hallo, wir haben hier 5-6 Teammitglieder, die sehr oft (auch im Ausland) unterwegs sind. Ich musste mal ein einfaches ...

Datenschutz

DataRoom und Sicherheit

Frage von MineralwasserDatenschutz2 Kommentare

Guten Tag Wir haben immer wieder mit Firmen zu tun die Ihre Daten über DataRoom Lösungen anbieten. Da ich ...

Sicherheitsgrundlagen

Sicherheit Netzwerksegmentierung

Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Windows Netzwerk

Sicherheit Administrationskonten

gelöst Frage von Philipp711Windows Netzwerk5 Kommentare

Hallo Leute, seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 2 TagenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 3 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
Router auf Orginal Firmware zurück flashen mit Tftpd
Frage von ILeonardRouter & Routing21 Kommentare

Hallo, Ich habe zwei Router, einmal TP-Link 841n v11 und TP-Link 940N v5. Ich wollte fragen, ob jemand mir ...

Router & Routing
WRT keine Verbindung zum Web Interface
gelöst Frage von ILeonardRouter & Routing18 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

TK-Netze & Geräte
Telefonie zweier Fritzboxen mit je eigenem DSL Anschluss verbinden
Frage von hannsgmaulwurfTK-Netze & Geräte10 Kommentare

Hallo zusammen, ich habe hier einen Haushalt mit zwei Anschlüssen. Einmal ISDN, einmal DSL. An jedem Anschluss hängt eine ...