Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 17.12.2007, 21:14:17   #1 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard ExportForce: für API IP-Begrenzungsmöglichkeit einführen

Hallo,

beim EF gibt es ja, zum doppelten Schutz gegen unberechtigte Zugriffe den Loginnamen, welcher absichtlich nicht öffentlich einsehbar ist.
Dieser ist jedoch nur begrenzt eine zusätzliche Sicherheit, da man mit der API ja ebenfalls über alle Lose, bis auf die Lose, die im Tresor liegen, zugreifen kann.

Mir schwebt deshalb vor, dass man - manuell und nur bei Bedarf, so kommt es zu keinen Statuscode-Problemen bei schlecht geschriebenen Skripten und zu keinen Umstellungsschwierigkeiten - vielleicht eine IP-Begrenzung festlegen könnte. Dort trägt man die IP seines eigenen Servers (oder halt die IP des Servers des Hosters, auf welchem das eigene Projekt liegt - da ist der Sicherheitseffekt jedoch bei weitem nicht so groß, versteht sich) ein, und bevor ein API-Request ausgeführt wird, wird die IP des zugreifenden Rechners mit der hinterlegten IP, sofern angegeben, abgeglichen. Nur wenn diese beiden IPs übereinstimmen, wird etwas ausgeführt - ansonsten mit einem neuen Statuscode abgelehnt.

Dies könnte eventuell zusätzliche Sicherheit schaffen, ist jedoch kein allzu großer Aufwand.

Wie sieht eure Meinung dazu aus?

Gruß
raven
 
raven ist offline   Mit Zitat antworten
Alt 18.12.2007, 10:05:28   #2 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Also kurz: API-Aufrufe nur von IP xxx.xxx.xxx.xxx zulassen.
(optional an-/abstellbar)
 
klamm ist offline   Mit Zitat antworten
Alt 18.12.2007, 11:54:05   #3 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von raven Beitrag anzeigen
Wie sieht eure Meinung dazu aus?
Korrigiert mich einer, wenn ich falsch liege, aber ist es nicht so, dass der meiste Mist
  • entweder mit bekannten Zugangsdaten ("gehackte Accounts", wie es immer liebevoll genannt wird ) - d.h. die Sperre bringt nix, weil nicht die API, sondern einfach das User-Interface benutzt wird -
  • oder mit Scripts voller Sicherheitslücken, wo man rumbuchen kann, was man nicht darf - d.h. auch hier bringt die Sperre nix, weil die IP ja stimmt -,
gemacht wird ?
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 18.12.2007, 12:48:19   #4 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Es geht aber auch so:

Dein unsicheres Script wird gehackt sodass du die EF ID und EF PW anzeigen lassen kannst, dann schreibst du dir dein eigenes Script wo du von deinem Server aus die Lose rüberziehst oder du nutzt die Zugangsdaten von EF XY um seine EF Abfragen zu verjubeln (mit Sachen die keine buchungseinträge oder so machen validate.php efstats.php usw...) der EF Loginname fehlt ja noch deshalb kannste dich nicht einloggen und deine Server IP mit angeben

Gruß
Gremlin
 
27o8 ist offline   Mit Zitat antworten
Alt 18.12.2007, 12:54:13   #5 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Gremlin Beitrag anzeigen
der EF Loginname fehlt ja noch deshalb kannste dich nicht einloggen und deine Server IP mit angeben
Ok, das war mein Denkfehler.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 18.12.2007, 13:07:12   #6 (permalink)
Erfahrener Benutzer
Benutzerbild von dabu

ID: 11566
Lose-Remote

Reg: 20.04.2006
Beiträge: 7.518
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Also kurz: API-Aufrufe nur von IP xxx.xxx.xxx.xxx zulassen.
(optional an-/abstellbar)
Falls du das einbauen solltest dann aber bitte mit der Möglichkeit mehrere verschiedene IPs für einen EF-Account eintragen zu können, falls über einen Account mehr als 1 Projekt betrieben wird.
 
dabu ist offline   Mit Zitat antworten
Alt 18.12.2007, 14:07:04   #7 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Also kurz: API-Aufrufe nur von IP xxx.xxx.xxx.xxx zulassen.
(optional an-/abstellbar)
Ja, genau so dachte ich mir das

Zitat:
Zitat von theHacker Beitrag anzeigen
Korrigiert mich einer, wenn ich falsch liege, aber ist es nicht so, dass der meiste Mist [...] gemacht wird ?
Den EF-Loginnamen speichert man normalerweise nicht im Skript. Man kann ihn also als ein weiteres Passwort benutzen, weil ihn niemand einsehen kann
Gibt es zusätzlich noch die Möglichkeit der IP-Restriktierung, dann wäre es - ohne einen fahrlässigen Fehler des EF-Inhabers - kaum möglich, Lose zu stehlen.
(Gremlin hat das schön erläutert, aber jetzt hatte ich das schon fertig getippt *g*)
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 18.12.2007, 14:13:59   #8 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.547
Standard

Die Idee ist ja nett, aber bisher habe ich noch keinen Fall erlebt, dass Lose auf diese Art und Weise geklaut wurden. Es waren eigentlich immer irgendwelche Schrottscripte, mit denen erst die DB des Loseseitenbetreibers manipuliert und dann Lose ausgezahlt wurde(n).

Wer so unsichere Scripte benutzt, dass damit Lose geklaut werden können, der wird kaum in der Lage sein, die richtige IP bei ef.klamm.de einzutragen. Und wer weiß, was damit gemeint ist, benutzt eigentlich auch sichere Scripte.
.
Mone ist offline   Mit Zitat antworten
Alt 18.12.2007, 17:14:49   #9 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Okay, da hast du natürlich recht.

Ich würde mich über die Umsetzung der IP-Sperre aber trotzdem freuen - gemessen am Aufwand sollte die Umsetzung eigentlich kein Problem darstellen - es bringt aber vielleicht für den ein oder anderen Betreiber ein gutes Stück mehr Sicherheit.

Würde mich also freuen, wenn es umgesetzt würde.
 
raven ist offline Threadstarter   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
2. Reihe Reno-mäh Punkte einführen ZorDraK Verbesserungsvorschläge 5 04.07.2008 16:56:58
Lose-Nummer einführen Drrichardfahrer Lose-Talk 15 10.12.2007 22:37:33
Neue Ralley-Regeln einführen? lesemaus Lose-Talk 15 01.12.2006 15:56:43


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:37:23 Uhr.