nafigalladms
Goto Top

Webhoster hindern am Mitlesen von in .php hardgecodeten Passwörtern

Ist es möglich bei einem durchschnittlichen Webhoster - bei dem man höchstens die Möglichkeit hat .htaccess-Dateien zu verwenden -
eine .php - Datei mit connection string so abzulegen das der Webhosting Admin und auch sonstige die sich dafür halten keine Einsciht in diese Datei haben oder zumindest das die datei so compiliert ist dass sie nicht einfach von denen decompiliert werden kann.

Ich bin noch ein Anfänger was Webentwicklung und alles damit Verbundene angeht, deswegen möchte ich mir ein Bild verschaffen

in dem :
1. was ich tun kann wenn ich etwas "PHP" und etwas "C" beherrsche - um eine sichere Verbindung zu meiner Datenbank mittels Scripten herzustellen.


2. Macht es überhaupt Sinn - wenn ich bei dem gleichen Hoster die Datenbank habe - wenn ich beim dem Hoster die Datenbank anlege
kann er bestimmt eh die Passwörter einfach herausfinden.

3. Was gibt es in Fall 2 für eine Möglichkeit dann für mich ohne gleich den Server bei mir zuhause zu betreiben.
3.b. Günstige Möglichkeit natürlich ca. bis 15 € im Monat.


Und mit sicher meine ich das nur ich und kein anderer auch kein Admin Zugang zu meinen Scripten habe.
Es ist mir auch klar dass es immer jemand geben wird der sich Zugang verschafen könnte - mit viel Aufwand.

Content-Key: 228431

Url: https://administrator.de/contentid/228431

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: wiesi200
wiesi200 01.02.2014 um 14:47:59 Uhr
Goto Top
Hallo,

mal grundsätzlich sage ich nein, zumindest kenne ich keine.
Aber wie du selbst sagt, es macht bei einem einfachen Webspace macht's wirklich wenig Sinn.
Er kann zwar nicht so ohne weiteres das Passwort rausfinden aber er wird Vollzugriff auf den DB Server haben.

Mir ist aber jetzt auch nicht wirklich klar welchen Sinn du dahinter siehst.
Mitglied: Xaero1982
Xaero1982 01.02.2014 um 14:58:36 Uhr
Goto Top
Hi,

http://www.zend.com/de/products/guard/

kostet aber ne Stange Geld und auf dem Webserver muss ein Modul installiert werden, was der Hoster wohl nicht zulässt.

Wie du schon selbst sagst sehe ich keinen Sinn drin und wenn du deinem Hoster so sehr vertraust, dann wechsel ihn.

Es gibt noch die sog. Obfuscator, aber wirklich effektiv ist das nicht. Schreckt vielleicht einen Laien ab, aber niemanden, der sich den Code auch nur 10 Sekunden lang ansieht. Der wird feststellen, dass im Grunde alles nur zusammen gemanscht wurde und Variablen etc. umbenannt wurden. SQL Strings z.b. bleiben identisch.
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 15:01:37 Uhr
Goto Top
Meiner("Hoster") kann ohne weiteres, ich hab z.B. ein Verzeichnis mit Zugangsrechten nur für mich angelegt und dort ein script abgelegt, jedoch konnte schon ein Support Mitarbeiter sofort mein script lesen.

2. Was bedeutet Vollzugriff auf DB Server? Etwa dass die Passwörter für Datenbanken im Klartext für den Admin sichtbar sind?
( ich will wenigstens dass die meine Passwörter im Klartext nicht kennen).

3. Was meinst du mit Sinn dahinter , wohinter ?
Wenn du das Thema meinst, dann liegt der Sinn darin dass "MEINS" auch Meins ist und niemanden was angeht, ganz einfach.
Ich möchte keine hochgeheimen Daten Speichern, aber ich will nicht das ein einfacher Supportmitarbeiter (der Wahrscheinlich auch die Firma führt usw. ) Einsicht in meine "für mich sennsible Daten" hat.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:05:40 Uhr
Goto Top
Dann wechsel den Anbieter.

Nein, die Passwörter kann er aus den Skripten auslesen (das ist das Problem daran) und die Daten aus den DBs kann er als DB Admin auslesen.
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 15:06:12 Uhr
Goto Top

ist Zendguard nicht auch eine Art Obfuscator? das alles kann man doch eh schnell in den Ursprung versetzten. Man braucht nur die Datenbank abschalten und schauen was der Server Warnings ausgibt, da ist dann alles wieder im Ursprungszustand sichtbar VORALLEM Der Connection STRING.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:10:52 Uhr
Goto Top
Zitat von @NafigAllAdms:

> Zitat von @Xaero1982:
>
> Hi,
>
> http://www.zend.com/de/products/guard/

ist Zendguard nicht auch eine Art Obfuscator? das alles kann man doch eh schnell in den Ursprung versetzten. Man braucht nur die
Datenbank abschalten und schauen was der Server Warnings ausgibt, da ist dann alles wieder im Ursprungszustand sichtbar VORALLEM
Der Connection STRING.

Ich habe Zend nun eher als Mittel zur Verschlüsselung der Applikation kennengelernt, nicht zur Vertuschung der Kennwörter.

Aber du hast ganz Recht, irgendwie kann man das im Fall des Falles abfischen: Lass dir einen eigenen Server aufsetzen und resette dann die Passwörter, pass aber auf, dass sich hier ein Fachmann mit beschäftigt und bedenke auch die Sicherheitsupdates/Konfigs/Erweiterungen. Sicherheit kostet eben (und mehr als die 15€).
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 15:12:11 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Dann wechsel den Anbieter.


was macht das noch für einen Sinn den Anbieter zu wechseln wenn die eh alles können.
Es ist nicht so dass ich meinem Anbieter nicht vertraue ich vertraue generell keinem. Und sagt nicht das dass mein persönliches Problem ist.
Nur weil ich wenig Ahnung hab muss ich doch nicht deswegen allen vertrauen.

Ich suche nach Möglichkeiten die mir erlauben mit begrenzten Mitteln ( Webhosting Packet) höchste Sicherheit zu erreichen.

Und wenn es die nicht gibt, dann höre ich gerne von Alternativen.)
Mitglied: wiesi200
wiesi200 01.02.2014 um 15:16:58 Uhr
Goto Top
Zitat von @NafigAllAdms:

3. Was meinst du mit Sinn dahinter , wohinter ?
Wenn du das Thema meinst, dann liegt der Sinn darin dass "MEINS" auch Meins ist und niemanden was angeht, ganz
einfach.
Ich möchte keine hochgeheimen Daten Speichern, aber ich will nicht das ein einfacher Supportmitarbeiter (der
Wahrscheinlich auch die Firma führt usw. ) Einsicht in meine "für mich sennsible Daten" hat.

Sorry, aber dann darfst du DEIN's nicht an andere geben. So einfach ist das.
Wenn du für dich sennsible Daten an einen öffentlichen Platz legst, dann musst du auch damit Leben das andere Zugreifen können.

Wenn's wirklich ist, eigener Server.
Wenn du 100% sicher sein willst, dann muss er auch bei dir im Haus sein.
Und dann solltest du dir auch noch anderweitig gedanken machen.
HTTP überträgt daten unverschlüsselt, das ist dir bewusst oder?
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 15:19:31 Uhr
Goto Top
Ich habe Zend nun eher als Mittel zur Verschlüsselung der Applikation kennengelernt, nicht zur Vertuschung der
Kennwörter.

Aber du hast ganz Recht, irgendwie kann man das im Fall des Falles abfischen: Lass dir einen eigenen Server aufsetzen und resette
dann die Passwörter, pass aber auf, dass sich hier ein Fachmann mit beschäftigt und bedenke auch die
Sicherheitsupdates/Konfigs/Erweiterungen. Sicherheit kostet eben (und mehr als die 15€).

Danke, mit so einer Antwort kann ich ein kleines Bisschen was anfangen.
Aber "vertuschen" klingt zu negativ - Ich möchte ja keine Fehler oder Verbrechen geheim halten . Was ist das bloss für eine Denkweise...
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:22:43 Uhr
Goto Top
Zitat von @NafigAllAdms:

> Zitat von @falscher-sperrstatus:
>
> Dann wechsel den Anbieter.
>

was macht das noch für einen Sinn den Anbieter zu wechseln wenn die eh alles können.
Es ist nicht so dass ich meinem Anbieter nicht vertraue ich vertraue generell keinem. Und sagt nicht das dass mein
persönliches Problem ist.

Im Prinzip ist des eines jeden persönlich Problem. Welcher Anbieter ist integer, welcher nicht?

Ein größeres Problem ist aber die Handlung aus Überängstigung und eine überparanoide Lebenshaltung.

Nur weil ich wenig Ahnung hab muss ich doch nicht deswegen allen vertrauen.

Hat keiner gesagt, aber wer sagt, dass du uns dann vertrauen kannst?

Ich suche nach Möglichkeiten die mir erlauben mit begrenzten Mitteln ( Webhosting Packet) höchste Sicherheit zu
erreichen.

Paradoxon. Höchste Sicherheit bekommen selbst Millionen und Milliardenbudgets z.T nicht geregelt und du denkst ernsthaft du schaffst das mit 2 mark fuffzig?

Und wenn es die nicht gibt, dann höre ich gerne von Alternativen.)

Wissen aneignen (Pass auf die Quellen auf), Wissen erweitern, Wissen vertiefen (Endlosschleife). Dann Wissen anwenden. Dann musst du nur noch Vertrauen in dich finden.

Andernfalls: Schau nach einem Angebot, dem du <am meisten> vertraust.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:25:55 Uhr
Goto Top
Zitat von @NafigAllAdms:
Danke, mit so einer Antwort kann ich ein kleines Bisschen was anfangen.
Aber "vertuschen" klingt zu negativ - Ich möchte ja keine Fehler oder Verbrechen geheim halten . Was ist das bloss
für eine Denkweise...

Wenn für dich vertuschen negativ ist...naja, doch ziemlich paranoid. Was sind das für Daten, die du da ablegen willst? :D
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 15:31:21 Uhr
Goto Top
Sorry, aber dann darfst du DEIN's nicht an andere geben. So einfach ist das.
Wenn du für dich sennsible Daten an einen öffentlichen Platz legst, dann musst du auch damit Leben das andere Zugreifen
können.

Wenn's wirklich ist, eigener Server.
Wenn du 100% sicher sein willst, dann muss er auch bei dir im Haus sein.
Und dann solltest du dir auch noch anderweitig gedanken machen.
HTTP überträgt daten unverschlüsselt, das ist dir bewusst oder?

Wenn jemand die eine Wohnung vermietet und du wie jeder andere dann das Schloss austauschen (sprich passwörter anlegen) kannst, dann ist alles was dort in der Wohnung ist nicht mehr öffentlich sonder deins und privat. Klar kann immer noch jemand einbrechen, aber das ist dann mit Aufwand verbunden. Ist die Grenze so schwer zu verstehen. Ich möchte nicht über den Sinn diskutieren.

Ich hab geschrieben dass ich Anfänger bin, bin mir noch nicht allzuviler Sachen bewusst.

SAGEN wir mal so: Ich brauche soviel Sicherheit, dass der Betreiber den Ordner mit dem "connection script" höchstens löschen kann, jedoch nicht lesen und nicht darin schreiben.
Kann ich das von einem Webhoster verlangen?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:35:47 Uhr
Goto Top
Zitat von @NafigAllAdms:


Wenn jemand die eine Wohnung vermietet und du wie jeder andere dann das Schloss austauschen (sprich passwörter anlegen)
kannst, dann ist alles was dort in der Wohnung ist nicht mehr öffentlich sonder deins und privat. Klar kann immer noch jemand
einbrechen, aber das ist dann mit Aufwand verbunden. Ist die Grenze so schwer zu verstehen. Ich möchte nicht über den
Sinn diskutieren.

Ist aber etwas anderes. Du mietest deine Wohnung als dein zeitweiligen Besitz.
Ungefähr Wohnung <> Hotelzimmer.

Denn den Webspace mietest du dir "managed". Im Hotelzimmer hat das Hotel auch dauernd Zugang (außer du hast eine extra Vereinbarung, die aber auch vergoldet wird). Aber selbst in "deiner" gemieteten Wohnung darfst du (imho) nicht ohne Sonderregelung das Schloss austauschen wie du willst.


Ich hab geschrieben dass ich Anfänger bin, bin mir noch nicht allzuviler Sachen bewusst.

Dann musst du entweder lernen, oder jemanden finden, dem du vertraust (hier liegt dann die Gefahr, dass du am Ende einem erliegst, der nur groß labern kann aber nichts kann oder tut und du bist noch unsicherer).

SAGEN wir mal so: Ich brauche soviel Sicherheit, dass der Betreiber den Ordner mit dem "connection script"
höchstens löschen kann, jedoch nicht lesen und nicht darin schreiben.
Kann ich das von einem Webhoster verlangen?

Nein, siehe Hotelzimmer.
Mitglied: wiesi200
wiesi200 01.02.2014 um 15:39:27 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

> Zitat von @NafigAllAdms:
>
>
> Wenn jemand die eine Wohnung vermietet und du wie jeder andere dann das Schloss austauschen (sprich passwörter anlegen)
> kannst, dann ist alles was dort in der Wohnung ist nicht mehr öffentlich sonder deins und privat. Klar kann immer noch
jemand
> einbrechen, aber das ist dann mit Aufwand verbunden. Ist die Grenze so schwer zu verstehen. Ich möchte nicht über
den
> Sinn diskutieren.

Ist aber etwas anderes. Du mietest deine Wohnung als dein zeitweiligen Besitz.
Ungefähr Wohnung <> Hotelzimmer.

Denn den Webspace mietest du dir "managed". Im Hotelzimmer hat das Hotel auch dauernd Zugang (außer du hast eine
extra Vereinbarung, die aber auch vergoldet wird). Aber selbst in "deiner" gemieteten Wohnung darfst du (imho) nicht
ohne Sonderregelung das Schloss austauschen wie du willst.


Ich würd's eher so sehen. Ein Webspache ist ein freier Stellplatz in einer Tiefgarage den man Mietet.
Mehr nicht.

Für alles andere gibt's V-Server oder Rootserver und selbst dann würd ich nicht sicher sein das der Vermieter einen Zweitschlüssel besitzt.
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 15:44:59 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

> Zitat von @NafigAllAdms:
> Danke, mit so einer Antwort kann ich ein kleines Bisschen was anfangen.
> Aber "vertuschen" klingt zu negativ - Ich möchte ja keine Fehler oder Verbrechen geheim halten . Was ist das
bloss
> für eine Denkweise...

Wenn für dich vertuschen negativ ist...naja, doch ziemlich paranoid. Was sind das für Daten, die du da ablegen willst?
:D

Das wollte ich in dem von dier zitierten Post sagen, dann habe ich mir gedacht die Frage kommt bestimmt gleich(sofort) von selbst, genau so wie die Aussagen von dir davor war das fast zu erwarten. :D

Bücher sprechen nicht in Foren ist jeder gleich beleidigt wenn seine Polemik als Antwort nicht zu gebrauchen ist.

Ich brauche konstruktive Antworten und etwas detailierter.

Was muss ich z.B. beachten wenn ich so einen Server(Apache nehm ich an) aufsetze, bezogen auf mein Problem?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:47:13 Uhr
Goto Top
Naja, je nach dem aus welchem Blickwinkel man das sieht. Ist deine Eigentumswohnung auf dem Land mit nem 10ha Grundstück hier das non plus Ultra, aber was ist, wenn du nie abschliesst und es keiner bemerkt, wenn eingebrochen wird? (Eigener Server, daheim, [aber selbst unprofessionell eingerichtet?])

Freier Stellplatz hat quasi * Zugriff. Daher denke ich die Hotelmetapher passt da "noch etwas besser", wenn man mal das offene Fenster Richtung Web weg lässt.

Natürlich kann auch jeder Hoster auf einem Rootserver die Passwörter zurücksetzen und natürlich kann man prinzipiell über jede "besonders gut" programmierte Website auch die DB Passwörter dahinter in Erfahrung bringen.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 15:49:09 Uhr
Goto Top
Zitat von @NafigAllAdms:
Was muss ich z.B. beachten wenn ich so einen Server(Apache nehm ich an) aufsetze, bezogen auf mein Problem?

Erfahrung, Wissen, +Erfahrung, noch mehr Wissen. Ein unsicherer Webserver ist (für dich und(!) andere) schlimmer als ein Hoster der auf deine Passwortfiles zugreifen könnte(!).
Mitglied: kingkong
kingkong 01.02.2014 um 17:49:58 Uhr
Goto Top
Eine Möglichkeit (die auch unabhängig von der Angst vor Spionage durch den Hoster eine sehr gute Idee ist -> Datenbank-Hacks) wäre das Speichern als SHA256- oder SHA512- Hash. Das ist das Ergebnis einer Funktion, welche aus den Eingabedaten sozusagen eindeutige Quersummen erzeugt (ganz so einfach ist es in Wirklichkeit nicht, aber für die Vorstellung genügt es, denke ich).

Zurückrechnen kann man von diesem Ergebnis nicht auf das Passwort. Wenn Du in Deiner Webanwendung also dann Dein Passwort eingibst, muss Deine Anwendung die Einwegfunktion auf Dein Passwort anwenden und prüfen, ob das Ergebnis und Dein gespeicherter SHA-Hash übereinstimmen.

Es muss Dir aber klar sein, dass der Hoster noch immer den HTTP(S)-Verkehr mitloggen und Deine Passwörter speichern könnte, bevor der Hash berechnet wird (und solltest Du auf die Idee kommen, den Hash gleich im Browser zu berechnen, dann sei Dir gesagt, dass ja dann trotzdem jedes Mal die gleiche "Quersumme" geschickt wird - möchtest Du das nicht, musst Du das Verfahren noch erweitern mit einem dynamischen Passwortteil...)
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.02.2014 um 18:13:48 Uhr
Goto Top
Zitat von @kingkong:

Eine Möglichkeit (die auch unabhängig von der Angst vor Spionage durch den Hoster eine sehr gute Idee ist ->
Datenbank-Hacks) wäre das Speichern als SHA256- oder SHA512- Hash. Das ist das Ergebnis einer Funktion, welche aus den
Eingabedaten sozusagen eindeutige Quersummen erzeugt (ganz so einfach ist es in Wirklichkeit nicht, aber für die Vorstellung
genügt es, denke ich).

Zurückrechnen kann man von diesem Ergebnis nicht auf das Passwort. Wenn Du in Deiner Webanwendung also dann Dein Passwort
eingibst, muss Deine Anwendung die Einwegfunktion auf Dein Passwort anwenden und prüfen, ob das Ergebnis und Dein
gespeicherter SHA-Hash übereinstimmen.

Es muss Dir aber klar sein, dass der Hoster noch immer den HTTP(S)-Verkehr mitloggen und Deine Passwörter speichern
könnte, bevor der Hash berechnet wird (und solltest Du auf die Idee kommen, den Hash gleich im Browser zu berechnen, dann sei
Dir gesagt, dass ja dann trotzdem jedes Mal die gleiche "Quersumme" geschickt wird - möchtest Du das nicht, musst
Du das Verfahren noch erweitern mit einem dynamischen Passwortteil...)

Blöd nur, dass das ganze am Thema vorbei ist.

Er will ja die Backend->DBBackend Passwörter bereits nicht im Klartext haben und wenn du für das DB Backend ein verhashtes PW nimmst ist eben der Hash das neue "Klartext" Password.

Soweit so gut.

LG
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.02.2014 um 18:16:52 Uhr
Goto Top
Zitat von @NafigAllAdms:

Ist es möglich bei einem durchschnittlichen Webhoster - bei dem man höchstens die Möglichkeit hat
.htaccess-Dateien zu verwenden -
eine .php - Datei mit connection string so abzulegen das der Webhosting Admin und auch sonstige die sich dafür halten keine
Einsciht in diese Datei haben oder zumindest das die datei so compiliert ist dass sie nicht einfach von denen decompiliert werden
kann.

Nein.


Ich bin noch ein Anfänger was Webentwicklung und alles damit Verbundene angeht, deswegen möchte ich mir ein Bild
verschaffen

in dem :
1. was ich tun kann wenn ich etwas "PHP" und etwas "C" beherrsche - um eine sichere Verbindung zu meiner
Datenbank mittels Scripten herzustellen.

Ja, authentifiziere udn verschlüssele die Verbindungsteilnehmer.


2. Macht es überhaupt Sinn - wenn ich bei dem gleichen Hoster die Datenbank habe - wenn ich beim dem Hoster die Datenbank
anlege
kann er bestimmt eh die Passwörter einfach herausfinden.

Solange Du keine gesalzenen hashes ablegst, sondern den Klartext sollte es für den Hoster kein problem sein.

3. Was gibt es in Fall 2 für eine Möglichkeit dann für mich ohne gleich den Server bei mir zuhause zu betreiben.
3.b. Günstige Möglichkeit natürlich ca. bis 15 € im Monat.

Keine. entweder Du suchst Dir einen Hoster Deines Vertrauens oder Du betreibst Deinen Server selber.

Und mit sicher meine ich das nur ich und kein anderer auch kein Admin Zugang zu meinen Scripten habe.

Eigenn Server betreiben!

Es ist mir auch klar dass es immer jemand geben wird der sich Zugang verschafen könnte - mit viel Aufwand.

Ja.


lks
Mitglied: kingkong
kingkong 01.02.2014 um 18:51:05 Uhr
Goto Top
Mea maxima culpa. Ich habe wohl geflissentlich übersehen, dass es ihm um die Verbindung zur Datenbank und nicht um die DB-Inhalte selbst geht. Auf DB-Ebene hast Du natürlich absolut recht, dass man immer ein Klartext-Passwort braucht (und entsprechend ein gehashtes Passwort zum neuen Klartextpasswort wird).
Mitglied: NafigAllAdms
NafigAllAdms 01.02.2014 um 22:20:50 Uhr
Goto Top
Zitat von @kingkong:

Eine Möglichkeit (die auch unabhängig von der Angst vor Spionage durch den Hoster eine sehr gute Idee ist ->


Zurückrechnen kann man von diesem Ergebnis nicht auf das Passwort. Wenn Du in Deiner Webanwendung also dann Dein Passwort
eingibst, muss Deine Anwendung die Einwegfunktion auf Dein Passwort anwenden und prüfen, ob das Ergebnis und Dein
gespeicherter SHA-Hash übereinstimmen.

... - möchtest Du das nicht, musst
Du das Verfahren noch erweitern mit einem dynamischen Passwortteil...)

Du meinst wohl sowas wie die md5-Funktion in PHP ?
Aber das was ich meine ist hardgecodetes Passwort in einem script wo ich nicht mehr selber das passwort eingebe.
Da ist es ja egal - im Falle des Hosterdraufschauens - ob ich es verschlüssele , er sieht ja sowieso das Ursprungspasswort, er kann ja in das Script reinschauen.


Wenn man vielleicht die connection dataei irgendwie per https von meinem Komputer zum Zeitpunkt des benötigten Connects holen könnte.
Und zwar so, dass ich mich zum Beispiel mit 'nem public Key mit meinem Kommmmmmp verbinde usw. kennst du sowas ähnliches gebe es so ein Konzept ?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.02.2014 um 22:25:54 Uhr
Goto Top
Zitat von @NafigAllAdms:

Wenn man vielleicht die connection dataei irgendwie per https von meinem Komputer zum Zeitpunkt des benötigten Connects holen
könnte.
Und zwar so, dass ich mich zum Beispiel mit 'nem public Key mit meinem Kommmmmmp verbinde usw. kennst du sowas ähnliches
gebe es so ein Konzept ?

Vielleicht solltest Du mal einfach schreiben, was Du machen willst, damit wir Dir dann sagen können, was mögliche sinnvolle Lösungen sind.

lks
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 01:09:53 Uhr
Goto Top
Vielleicht solltest Du mal einfach schreiben, was Du machen willst, damit wir Dir dann sagen können, was mögliche
sinnvolle Lösungen sind.

lks

Ich möchte dass ein sript über den Besucher eine Info Herkunftsland sammelt und in der DB speichert.

Das soll automatisch passieren.

Ich könnte das zwischenspeichern lassen auf dem Server (in Datei xy ) , verschlüsselt, aber Hoster sieh Algorithmus. Und später mich auf meiner Seite anmelden und mit den geschachschten login und pass bei der DB authentifizieren und die Sammlung auf der DB ablegen. Macht kein Sinn.

Ich könnte vielleicht die Datenbank so programmieren das die auf einen die auf einen trigger von einem Script lauscht wird wenn ein Besucher auf meiner Seite browst und sich die Sachen selber holt. Hab mich mit sowas aber noch nicht beschäftigt.
Frage mich was in diesem Fall für Werkzeuge (namtentlich) brauche um eine MySql DB so hinzubiegen ( DB mit MyISAM- Engine) .
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 01:24:08 Uhr
Goto Top
sorry für die vielen Tippfehler, ist wohl Schlafenszeit...

meinte oben geHashtes passwort und login.

2. DB so programmieren, dass sie auf event vom Script lauscht, wenn ein Besucher die Seite besucht. Die Feinheiten ob der Script mit event merkmale des Besuchers in diesem Moment an die DB mit sendet und die DB daraufhin aktiv usw. ist ersteinmal zweitrangig.

2.a. Habe ich für solche Aktionen überhaupt eine Möglichkeit (technisch gesehen) auf der DB und ist diese Aktion von dem HOSTER verborgen, heißt z.B. das die DB und ihre Funktion von dem HOster nicht einsehbar sind.
Die DB übernimmt praktisch die Aufgaben des scriptes. ISt MySQL für sowas in der Lage?
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 01:57:55 Uhr
Goto Top
Zitat von @NafigAllAdms:

sorry für die vielen Tippfehler, ist wohl Schlafenszeit...

meinte oben geHashtes passwort und login.

2. DB so programmieren, dass sie auf event vom Script lauscht, wenn ein Besucher die Seite besucht. Die Feinheiten ob der Script
mit event merkmale des Besuchers in diesem Moment an die DB mit sendet und die DB daraufhin aktiv usw. ist ersteinmal
zweitrangig.

2.a. Habe ich für solche Aktionen überhaupt eine Möglichkeit (technisch gesehen) auf der DB und ist diese Aktion
von dem HOSTER verborgen, heißt z.B. das die DB und ihre Funktion von dem HOster nicht einsehbar sind.
Die DB übernimmt praktisch die Aufgaben des scriptes. ISt MySQL für sowas in der Lage?

Können hier stored procedures weiter helfen, ist dort ein event/listener System oder ähnliches vorhanden?
Mitglied: wiesi200
wiesi200 02.02.2014 um 08:16:24 Uhr
Goto Top
Also wenn du die Herkunftsländer deiner Webseitenbesucher rausfinden willst dann würd ich das einfach über
http://piwik.org/
lösen. Da bekommst du mehr als genug Informationen über deine Besucher.
Und deinem Hoster ist das mit Sicherheit herzlichst egal. Die haben besseres zu tun als deine Datenbank Zwecks sowas durchzuforsten.

Und du kannst dein Klartextpasswort Verschlüsseln wie du willst, dein Provider ist trotzdem DB Admin der braucht die Passwörter nicht mal.

Beste Möglichkeit für deinen, meiner Meinung nach "sinnlosen" Wunsch, besorg dir einen Root Server und setzt drauf ein kpl. verschlüsseltes System Virtuell drauf.
Sowas würde dir auch etwas mehr Sicherheit bieten
https://hosting.1und1.de/VirtualServerL?linkOrigin=vserver&linkId=ct ...
Aber persönlich würde ich diese Lösung auch nicht als 100%ig ansehen.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 02.02.2014 um 10:37:41 Uhr
Goto Top
Zitat von @wiesi200:

Also wenn du die Herkunftsländer deiner Webseitenbesucher rausfinden willst dann würd ich das einfach über
http://piwik.org/
lösen. Da bekommst du mehr als genug Informationen über deine Besucher.
Und deinem Hoster ist das mit Sicherheit herzlichst egal. Die haben besseres zu tun als deine Datenbank Zwecks sowas
durchzuforsten.

Und du kannst dein Klartextpasswort Verschlüsseln wie du willst, dein Provider ist trotzdem DB Admin der braucht die
Passwörter nicht mal.

Beste Möglichkeit für deinen, meiner Meinung nach "sinnlosen" Wunsch, besorg dir einen Root Server und setzt
drauf ein kpl. verschlüsseltes System Virtuell drauf.
Sowas würde dir auch etwas mehr Sicherheit bieten
https://hosting.1und1.de/VirtualServerL?linkOrigin=vserver&linkId=ct ...
Aber persönlich würde ich diese Lösung auch nicht als 100%ig ansehen.

Du rätst nicht tatsächlich einem Anfänger, der sich nicht nur selbst so nennt, sondern dazu noch dauernd mit irgendwie aufgeschnappten aber semantisch kaum damit in Zusammenhang stehenden Fachphrasen um sich wirft zu einem eigenen Root Server?

Piwik, ok. Warum du darum so eine Paranoia schiebst ist mir allerdings fraglich @to?
Mitglied: wiesi200
wiesi200 02.02.2014 um 11:03:13 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

> Zitat von @wiesi200:
>
> Also wenn du die Herkunftsländer deiner Webseitenbesucher rausfinden willst dann würd ich das einfach über
> http://piwik.org/
> lösen. Da bekommst du mehr als genug Informationen über deine Besucher.
> Und deinem Hoster ist das mit Sicherheit herzlichst egal. Die haben besseres zu tun als deine Datenbank Zwecks sowas
> durchzuforsten.
>
> Und du kannst dein Klartextpasswort Verschlüsseln wie du willst, dein Provider ist trotzdem DB Admin der braucht die
> Passwörter nicht mal.
>
> Beste Möglichkeit für deinen, meiner Meinung nach "sinnlosen" Wunsch, besorg dir einen Root Server und
setzt
> drauf ein kpl. verschlüsseltes System Virtuell drauf.
> Sowas würde dir auch etwas mehr Sicherheit bieten
> https://hosting.1und1.de/VirtualServerL?linkOrigin=vserver&linkId=ct ...
> Aber persönlich würde ich diese Lösung auch nicht als 100%ig ansehen.

Du rätst nicht tatsächlich einem Anfänger, der sich nicht nur selbst so nennt, sondern dazu noch dauernd mit
irgendwie aufgeschnappten aber semantisch kaum damit in Zusammenhang stehenden Fachphrasen um sich wirft zu einem eigenen Root
Server?

Es ist zumindest die Einzige Möglichkeit die ich sehe den Webhoster den Zugang ein bisschen zu erschweren.
Das die ganze Aktion auf Grund von unzureichendem Wissen das man auch nicht alleine und auf die schnell durch ein Forum aufbauen kann ist wieder ein Anderes Thema.
Aber auf Grund von Franks wünschen in letzter war war ich mal in der Stimmung für Sowas. Gut es wird zwar dann die nächste Spamschleuder sein . Aber auf eine mehr kommt's nicht an und der TO will ja unbedingt das ihm sein Hoster nicht mehr helfen kann, was soll's.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 02.02.2014 um 11:10:44 Uhr
Goto Top
Zitat von @wiesi200:
Aber auf Grund von Franks wünschen in letzter war war ich mal in der Stimmung für Sowas. Gut es wird zwar dann die
nächste Spamschleuder sein . Aber auf eine mehr kommt's nicht an und der TO will ja unbedingt das ihm sein Hoster nicht
mehr helfen kann, was soll's.

welche meinst du damit im Speziellen?

Ob das der Reputation der Seite aber hilft?
Mitglied: Sheogorath
Sheogorath 02.02.2014 um 12:29:05 Uhr
Goto Top
Moin,

wie wäre es mit einer einfachen Lösung? Denn erstmal stellen sich 3 Fragen, die du dir selbst stellen solltest:
1. Will ich eine Webseite anbieten oder das ganze eher als Cloud verwenden?
2. Bist du wirklich so wichtig, dass ein Supportmitarbeiter, wenn er Langeweile hat mal in deinem Webspace rumsurft und die Passworte raus sucht?
3. Warum ist dein DB-Datenbankpasswort nicht einfach ein x Zeichenlanges von einem Password generiertes Passwort sondern eines, dass relevante hat?

Alles in allem, bleibt zu sagen: Ein Hoster kann die .htacess Datei ignorieren, da er Filesystemseitig auf deinen Webspace zugreift. (er nimmt einfach eine andere Tür, als die, bei der du die Schlösser wechseln kannst) und somit kannst du ihn nicht aussperren.

Frage dich einfach mal was du wirklich willst... eine Webseite publizieren oder einen Sicheren und Speicher. Wenn du letzteres Suchst, solltest du eher ein NAS kaufen, da sind 15€ allerdings eher knapp angesetzt.

Gruß
Chris
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 12:51:19 Uhr
Goto Top
Zitat von @Sheogorath:

Moin,

wie wäre es mit einer einfachen Lösung? Denn erstmal stellen sich 3 Fragen, die du dir selbst stellen solltest:
1. Will ich eine Webseite anbieten oder das ganze eher als Cloud verwenden?
2. Bist du wirklich so wichtig, dass ein Supportmitarbeiter, wenn er Langeweile hat mal in deinem Webspace rumsurft und die
Passworte raus sucht?
3. Warum ist dein DB-Datenbankpasswort nicht einfach ein x Zeichenlanges von einem Password generiertes Passwort sondern eines,
dass relevante hat?

Alles in allem, bleibt zu sagen: Ein Hoster kann die .htacess Datei ignorieren, da er Filesystemseitig auf deinen Webspace
zugreift. (er nimmt einfach eine andere Tür, als die, bei der du die Schlösser wechseln kannst) und somit kannst du ihn
nicht aussperren.

Frage dich einfach mal was du wirklich willst... eine Webseite publizieren oder einen Sicheren und Speicher. Wenn du letzteres
Suchst, solltest du eher ein NAS kaufen, da sind 15€ allerdings eher knapp angesetzt.

Gruß
Chris

Wie ist den das Konzept einer Cloud so, wie meinst du kann man in meinem Fall das anwenden?
Mitglied: Sheogorath
Sheogorath 02.02.2014 um 13:44:59 Uhr
Goto Top
Moin,

Nunja, eine Cloud ist ja für dich privat, wenn du als irgendwelche Privates scripts hast, nimmst du einen der vielen Tausend Cloudanbieter und einen Truecrypt-Container, den du in der Cloud ablegst und schon hast du sichere Daten, nur leider hilft dir das für keine Webseite, das wäre dann wirklich nur für deine Privaten Daten. Aber mal ehrlich, Wenn du eine Webseite bereit stellst, warum sollte dann dein Code dafür nicht im Klartext auf dem Webserver liegen? Bzw. was sollte ein Supporter mit deinem Passwort wollen? 1. Kann er ohnehin schon auf deine Datenbank zugreifen und 2. Wenn er das nicht kann, kann er dir bei deinem Problem nicht helfen und dann ist es ihm egal.

Außerdem solltest du dir mal überlegen, was solche Berechtigungen (Also dass wirklich nur du lesen kannst) für Auswirkungen auf den Betrieb eines Rechenzentrums hätten. Allein der Aufwand um einen Storage-Server zu wechseln wäre enorm. Stell es dir mal vor, so ein Storage-Server hat sagen wir mal (wir nehmen einen kleinen) 15TB diese sind alle an solche Privatkunden wie dich verteilt (sagen wir mal 30GB) dann sind das allein auf dieses Storage-Server 500 Kunden, die man anschreiben bzw. anrufen müsste. und nun nimmt man mal an, das 10 von denen gerade im Urlaub sind und einfach nur entspannen. Vielleicht ist auch einem der Mailaccount abhanden gekommen, was auch immer. Dann müsste man den alten Storage-Server wegen dieser 10 Kunden noch Wochen weiterbetreiben, denn man kann ja nicht ran. Das würde die Kosten für dein bisschen Webspace ganz schön steigern.
Merkst du etwas?
Alles hat irgendwo auch seinen Grund.

Gruß
Chris
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.02.2014 aktualisiert um 14:07:11 Uhr
Goto Top
Zitat von @NafigAllAdms:

Wie ist den das Konzept einer Cloud so, wie meinst du kann man in meinem Fall das anwenden?

Cloud sind imho nur sicher, wenn sie auf eigenen Server betrieben werden. Denn sobald Du dort Daten verarbeiten willst, muß das auf einer CPU unter Kontrolle des Hosters arbeiten und schon hast Du ein Problem.

Dein Problem ist, daß Du dir keine eigene Infrastruktur leisten willst, aber dem Hoster nciht vertraust. Egal wie Du es drehst und wendest. Du benötigst irgend einen Keim an dem Du vertrauen festmachen kannst, sei es ein TPM oder eigen Hardware. wenn du dafür nicht bereit willst, Geld auszugeben, wird es nciht funktionieren.

Überlege dir mal, wie Du eine vertruaneswürdige DD aufsetzen willst, wenn die DB-Software auf einem nicht vertrauenswürdigen Host läuft?

Fazit: Wenn Dir die vertraulichkeit wichtig genug ist, mußt Du gewzungenermaßen eigene Hardware, die Du vorher versiegelst, beim Hoster hinstellen (oder bei Dir betreiben). Selbst ein root-Server ist initial unter der Kontrolle des Hosters und kann daher schon kompromittiert sein.

lks
Mitglied: KowaKowalski
KowaKowalski 02.02.2014 aktualisiert um 14:09:51 Uhr
Goto Top
Hi,

ich glaube Du hast da ein grundsätzliches Verständnissproblem. face-smile


Ein Administrator kann sich Zugangs zu jeder Datei auf seinen Systemem verschaffen! Das ist zur Ausübung seiner Tätigkeit notwendig!

Du kannst Ihm alle möglichen Zugriffs- und Besitzrechte entziehen (er bekommt dann beim Zugriffsversuch auch tatsächlich mal kurz ein "Zonk" angezeigt) aber wenn es notwendig ist kann der Admin die Ordnerrechte zu seinem Besitz machen und darauf zugreifen.

Wenn dies anders wäre würde er wie gesagt nicht all seine Adminaufgaben ausführen können.

Unterbinden kannst Du das eingentlich nur indem Du selbst der Admin bist.


grüße
kowa
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.02.2014 um 14:13:41 Uhr
Goto Top
Zitat von @KowaKowalski:

Unterbinden kannst Du das eingentlich nur indem Du selbst der Admin bist.

Oder indem man Systeme benutzt, die auch solche Fälle vorsehen. Allerdings sind die inzwischen aus der Mode gekommen.

lks
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 17:03:40 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @KowaKowalski:
>
> Unterbinden kannst Du das eingentlich nur indem Du selbst der Admin bist.

Oder indem man Systeme benutzt, die auch solche Fälle vorsehen. Allerdings sind die inzwischen aus der Mode gekommen.

lks

Welche Systeme meinst du damit?
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 17:41:43 Uhr
Goto Top
Zitat von @KowaKowalski:

Hi,

ich glaube Du hast da ein grundsätzliches Verständnissproblem. face-smile


Ein Administrator kann sich Zugangs zu jeder Datei auf seinen Systemem verschaffen! Das ist zur Ausübung seiner
Tätigkeit notwendig!

Du kannst Ihm alle möglichen Zugriffs- und Besitzrechte entziehen (er bekommt dann beim Zugriffsversuch auch tatsächlich
mal kurz ein "Zonk" angezeigt) aber wenn es notwendig ist kann der Admin die Ordnerrechte zu seinem Besitz machen und
darauf zugreifen.

Wenn dies anders wäre würde er wie gesagt nicht all seine Adminaufgaben ausführen können.

Unterbinden kannst Du das eingentlich nur indem Du selbst der Admin bist.


grüße
kowa

Mir würde schon reichen wenn er ein "Zonk" bekommt, und ich dann darüber benachrigtigt werde und das auch sowas rechtlich geregelt wäre.
Damit der Hoster das nicht einfach ohne Konsequenzen machen kann.
Die Frage ist ist das technisch möglich ohne das der Hoster das trozdem einfach manipulieren kann, sprich den "Zonk", den "Log" usw. umgehen kann und dabei unbemerkt bleiben und gleichzeitig reibungslosen Betrieb garantieren.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 02.02.2014 um 17:46:08 Uhr
Goto Top
Zitat von @NafigAllAdms:
Damit der Hoster das nicht einfach ohne Konsequenzen machen kann.
Die Frage ist ist das technisch möglich ohne das der Hoster das trozdem einfach manipulieren kann, sprich den
"Zonk", den "Log" usw. umgehen kann und dabei unbemerkt bleiben und gleichzeitig reibungslosen Betrieb
garantieren.

warum sollte das Rechtlich geregelt sein?

Ich weiss von früheren Webspaces, dass der Hoster z.T zugegriffen hat, aber nur auf ausdrücklichen Wunsch, da an deren Konfiguration etwas nicht gestimmt hat, was natürlich eines Nachforschens bedarf.

Du mietest hier nochmals(!) ein Hotelzimmer, keine Wohnung. Du kannst gerne(!) bei einigen Hostern anfragen, ob die einen Spezialtarif machen, aber der wird wohl für dich so teuer oder für die so unprofitabel, dass du darauf sitzen bleiben wirst: Hol dir jemand, der das einrichten kann und du bist auf der Sicheren Seite. Alles andere führt zu nichts - wobei ich mir mittlerweile auch mehr und mehr denke, dass du gar nicht an einer wirklichen Lösung interessiert bist oder noch viel mehr "fear driven" bist, als zu Anfang vermutet. Hier dann ggf besser offline bleiben. Bei einer Website aber schlicht unmöglich, da das Grundprinzip dazu publicity ist.

LG
Mitglied: NafigAllAdms
NafigAllAdms 02.02.2014 um 19:05:10 Uhr
Goto Top
Du mietest hier nochmals(!) ein Hotelzimmer, keine Wohnung. Du kannst gerne(!) bei einigen Hostern anfragen, ob die einen
Spezialtarif machen, aber der wird wohl für dich so teuer oder für die so unprofitabel, dass du darauf sitzen bleiben
wirst: Hol dir jemand, der das einrichten kann und du bist auf der Sicheren Seite. Alles andere führt zu nichts - wobei ich
mir mittlerweile auch mehr und mehr denke, dass du gar nicht an einer wirklichen Lösung interessiert bist oder noch viel mehr
"fear driven" bist, als zu Anfang vermutet. Hier dann ggf besser offline bleiben. Bei einer Website aber schlicht
unmöglich, da das Grundprinzip dazu publicity ist.

LG

Nein Alter, publicity ist dein Grundprinzip bzw. Lieblingsbeschäftigung.
Mitglied: Xaero1982
Xaero1982 02.02.2014 um 19:10:27 Uhr
Goto Top
Ich weiß gar nicht warum ihr hier immernoch diskutiert.

Er ist unbelehrbar. Das ist alles und mehr muss dazu nicht gesagt werden.
Zend wäre eine Möglichkeit und wohl die einzige.

Alles andere ist Unsinn und Seitens des TE kann ich nur sagen: Verkaufe/Verschenke deinen PC/Notebook, Smartphone, miete bloß keinen Webspace an und kündige deine Wohnung, Krankenkasse und sonstige Versicherungen. Job sofern vorhanden und melde dich obdachlos.

Dann wird niemand nach dir suchen, niemand deine Datenbank kontrollieren oder sonst irgendwas von dir erfahren.

Du wirst niemals einen halbwegs fähigen Admin daran hindern auf sein eigenes System in Gänze zugreifen zu können. Deswegen müssen Administratoren in der Regel Verschwiegenheitserklärungen unterzeichnen.

Schönen Abend noch!