Ich habe schon länger keine sicherheitsrelevanten Probleme mehr gepostet, heute schauen wir uns ein paar häufig gemachte und exisierende Fehler an. Schaut euch diesen Code-Schnipsel an:<? $url = $_POST['imageUrl']; $content ...
Weiterlesen2-Faktor-Authentifizierung mit dem Google Authenticator
Viele größere Webdienste bieten mittlerweile die 2-Faktor-Authentifizierung an, PayPal, Amazon, Facebook und nicht zuletzt Google. Mit der 2-Faktor-Authentifizierung muss neben dem Benutzernamen und Passwort ...
WeiterlesenWer über neues auf dieser Seite informiert werden will, der sollte uns auf Facebook folgen. Es lohnt sich!
Client-Zertifikate als sicherer Login-Ersatz?
Wer auf Sicherheit achtet und seinen Webseitenbesuchern etwas Privatsphäre spendieren möchte installiert ein SSL-Zertifikat auf dem eigenen Webserver. Damit ist es Besuchern möglich verschlüsselt mit ...
WeiterlesenHashDoS Angriff legt (unter anderem) PHP lahm
Ich bin leider die letzten 2 Tage nur wenige Stunden dazu gekommen die Live-Streams vom 28. Chaos Communication Congress (28C3) zu schauen, aber bzgl. PHP ist heute Nachmittag ein interessanter Talk gehalten ...
WeiterlesenLink vorschlagen.
Danke, dass du einen Link hinzufügen möchtest. Sobald du dieses Formular ausgefüllt hast, wird einer unserer Moderatoren informiert, der sofort losrennt und den Link überprüft. Falls er ihn gefalällt - und davon gehen wir aus - wird er mit ins Programm genommen. Da wir die Leser des Blogs nicht mit tollen Links überlasten wollen, kann es aber sein, dass dein Link erst nach ein paar Tagen live geht.
Vorschlag absenden AbbrechenLink erfolgreich vorgeschlagen.
Vielen Dank, dass du einen Link vorgeschlagen hast. Wir werden ihn sobald wie möglich prüfen. Schließen
Link vorschlagen
Wir sind immer auf der Suche nach guten Links. Helft uns sie zu finden.
Link vorschlagenDie Reporting-Funktion der Content-Security-Policy (CSP)
CSP hatte ich vor fast 2 Jahren bereits vorgestellt, mittlerweile hat es eine gute Verbreitung gefunden, sodass wir uns nochmals die Details anschauen. CSP ist ein Header, den der Server an den Browser ...
WeiterlesenDas Problem mit HEAD Requests in PHP
Ich bin gerade auf ein interessantes Verhalten gestoßen das eventuell große Probleme bereiten kann. Wahrscheinlich nur sehr wenige von euch werden das hier wissen, trotzdem ist es sehr interessant und ...
WeiterlesenManipulationen erkennen – Bemerken dass man gehackt wurde
In viele Webseiten wird heutzutage eingebrochen und es werden Änderungen an der Webseite durchgeführt. Das kann die selbst programmierte Webseite sein bei der man eine Lücke eingebaut hat, das kann aber ...
WeiterlesenDieser Schlüssel zerstört sich in 30 Sekunden selbst
Gastartikel von Oliver Sperke.Ich bin 34 Jahre alt und seit 10 Jahren selbständiger Webentwickler. Mein Fokus liegt dabei auf der Erstellung, Beratung und Optimierung in den Bereichen High Performance, ...
WeiterlesenPasswort Blacklist
Kunden, die eine Webseite mit Registrierung und Login benötigen kann man nicht immer davon überzeugen, strenge Passwortrichtlinien anzusetzen. Wenn ich vorschlage “10 Zeichen, davon mindestens eine ...
WeiterlesenSchöner hashen mit bcrypt
Gastartikel von Oliver Sperke. Ich bin 34 Jahre alt und seit 10 Jahren selbständiger Webentwickler. Mein Fokus liegt dabei auf der Erstellung, Beratung und Optimierung in den Bereichen High Performance, ...
Weiterlesencreate_function() genauso übel wie eval()?
Heute mal eine Sonntagsfrage: Ich überlege gerade wie ich ein Problem löse, bei dem ich wohl nur mit viel Aufwand drumherum komme, eval() zu benutzen. Auf der Suche nach einer Lösung fiel mir auch die ...
WeiterlesenPasswortrichtlinien, was tun und was nicht?
Vor kurzem bin ich wieder auf das leidige Problem “Passwortrichtlinien” gekommen. Erster Punkt: Xing Das Minimum für das Passwort bei Xing beträgt 4 Zeichen. Von einer Pflicht, doch mindestens ...
WeiterlesenGefährliche PHP-Funktionen ausschalten
PHP ist mächtig, man kann nahezu alles umsetzen, zur Not auch mit Zugriff auf die Kommandozeile. Doch die Macht hat auch immer eine böse Seite, sie kann missbraucht werden. Nicht nur auf shared Webservern ...
WeiterlesenSecurity Patterns
Ich habe eine Weile überlegt welches Thema ich für meinen ersten Beitrag hier im Blog nehmen soll. Da bei phphatesme ja viel und gerne über Entwurfsmuster geschrieben wird und ich beruflich als Softwarearchitekt ...
WeiterlesenRichtiger Umgang mit Passwörtern
Heute will ich mal ein paar Worte über den Umgang mit Passwörtern, die man in PHP verwendet verlieren. Ich denke jeder von euch hatte bereits ein Projekt, in dem mit eben solchen hantiert wurde. Login ...
WeiterlesenInstallation von PHP erkennen (expose_php)
Wenn man versucht, die Schwachstellen einer Webseite ausfindig zu machen, dann ist der erste Schritt, den man gehen sollte, möglichst viel Information über das System, das man angreifen will zu sammeln. Will ...
WeiterlesenSicherer Umgang mit der Request Variablen
Wie ihr ja wisst, war ich vor kurzem auf der PHP Konferenz und wie jedes Jahr war natürlich auch Sicherheit ein Thema. Stefan Esser ging in seinem Vortrag "Lesser known security problems" auf die Gefahr ...
Weiterlesen