![]() |
#31 | |||
P-almost-surely
Reg: 31.05.2010
Beiträge: 247
|
![]() Zitat:
Zitat:
Man lege die Zugänge in einer PHP-Datei auserhalb des öffentlichen bereichs / in einem mit htaccess geschützen Bereich des Servers => Zugriff nur vom Localhost aus möglich. Diese Datei wird in die öffentlichen Scripts die zugänglich sein müssen Includiert. Fällt der Parser aus sieht man nur noch den Include Befehl, nicht aber die Daten. Den Dateinahmen zu kennen nützt einem auch nichts, wegen der Zugriffsbeschränkung auf den Bereich wo sich diese Datei findet. Wer natürlich die Konfigurationsdatei nicht schützt, ist selber schuld, und sollte vielleicht mal drüber nachdenken ob es nicht besser wäre die eigene Seite dicht zu machen. Hart formuliert, aber so ist es nun mal. Im öffentlichen Bereich hat diese nichts zu suchen. Zwar ist ein Abschuss des PHP Parsers unwahrscheinlich, aber man sollte sowas bedenken, man weis ja nie was passiert... Zitat:
Aber als Tipp: Die Leute sollen das Script htaccess protecten so das nur deine Server IP auf dieses Verzeichnis Zugriff bekommt. Dies bringt schon mal einen guten Schutz gegen fremde aufrufe. €: Und das mit dem FTP: ich kann mir denken woher du das hast... nur ist es schon unwahrscheinlicher das jemand den FTP Knackt, anstatt das er durch eine ServerPanne (PHP Parser) oder durch einen Scriptfehler an die Daten kommt. €²: Zum Thema verlässliche Daten, es ist halt eine Vertrauenssache, entweder die User Vertrauen auf die Sicherheit der Daten bei dir, oder du vertraust auf die Richtigkeit der Daten der User. Ich fände es durchaus machbar wenn die Seiten ein eigenes Script betreiben das den EF Stand ausliest und man diesen Stand einfach nur einliest (bevor es wer Überliest: Ich spreche hier nicht von Userguthaben.). So ist es in der Verantwortung des EFs inhaber wie sicher das Script ist, und nicht in deiner Geändert von jgry (10.06.2011 um 15:48:38 Uhr) |
|||
![]() |
![]() |
![]() |
#32 |
LoseTrader.de
|
![]()
Du solltest ein Buch schreiben: "Sichere PHP-Applikationen entwickeln" und am Ende von jedem Kapitel schreibst du dann:
|
![]() |
![]() |
![]() |
#33 | |
P-almost-surely
Reg: 31.05.2010
Beiträge: 247
|
![]() Zitat:
Lass es doch einfach sein, wenn du nichts Sinnvolles zur Sache beitragen kannst. |
|
![]() |
![]() |
![]() |
#34 | ||||
Woohooo!
|
![]() Zitat:
Wird nur imho von den wenigstens Seiten hier auf klamm so gemacht (alleine die Scripts die im Umlauf sind bieten das glaube ich auch nicht ohne Änderungen an). Und das der PHP-Parser versagt genau in dem Moment, in dem jemand die URL austestet ist finde ich sehr unwahrscheinlich. Mal schauen ob ich dennoch die Passwörter in einer Konfigurationsdatei auslagere. Zitat:
Woher ich was habe? Zitat:
Was wird wohl wahrscheinlicher sein? Das eine Person Mist baut oder das unter vielen Personen eine Mist baut? ![]() Zitat:
Allerdings vertraue ich ehrlich gesagt nicht allen Loseseitenbetreibern, dass diese mir richtige Daten übermitteln. Will einer mal die Losemenge hochtreiben übermittelt der einfach eine höhere Summe als er wirklich auf seinem EF-Account hat. Und genau hierdurch kann ich am Ende nicht sagen, dass es wirklich mindestens so viele Lose gibt wie ich ermittelt habe. Man kann dann einfach keine verlässliche Zahl angeben.. |
||||
![]() ![]() |
![]() |
![]() |
#35 | |
LoseTrader.de
|
![]() Zitat:
Was meinst du wie viele Leute es geben wird, die es lustig finden werden einfach mal ein EF einzurichten, wo angeblich 1 bio Klammlose drauf sind. |
|
![]() |
![]() |
![]() |
#36 |
return void
|
![]()
So, ich habe mir jetzt auch mal eine Stunde Gedanken gemacht.
Ich habe eine sichere Variante gefunden ![]() ![]() ![]() Für irgendetwas muss Erfahrung doch gut sein. Es wundert mich, dass die noch niemand hatte... kurzer Umriss: Lukas bietet keine EF-Statistikfunktion an und die bisherigen Optionen sind für Seitenbetreiber nun nicht die optimalsten, jedoch gibt es doch Statistikpasswörter für normale Klamm-Konten, dies machen wir uns zu Nutze: Wenn der Losestand gemessen werden soll transferieren die Seitenbetreiber ihre Lose selbst auf ihren eigenen Klamm-Account von wo die Menge abgelesen werden kann und wenn die Menge erfasst wurde, können die Lose wieder zurück-transferiert werden. lange technische Erklärung: Mittels curl_multi_exec() wird parallel bei allen Seitenbetreibern ein Script aufgerufen, welches diesen mitteilt, dass sie ihre EF-Lose auf ihren Klamm-Account verschieben sollen (1). Diese Transaktion gilt nur für 30 Sekunden, d.h. dass die Seitenbetreiber selbst per Cron, wenn sie möchten, die Lose wieder nach der Zeitspanne abziehen können (Sicherheitsfunktion) oder erst wenn sie von LoseMenge.de die Nachricht erhalten, dass der Losestand fertig gemessen wurde. Bekommt das LoseMenge.de nun von allen Seiten den Status zurück, dass sie fertig sind beginnt wiederum parallel (2) das Auslesen aller Klamm-Accounts mit den Statistikpasswörtern. Ist dies fertig werden jetzt erst (3) alle Seitenbetreiber informiert, dass sie ihre Lose zurücktransferieren können, wenn sie dies selbst noch nicht durch die 30-Sekunden-Regel gemacht haben (unter der Annahme der Vorgang dauerte länger als 30s). Nun ist das LoseMenge.de Script fertig und hat einen einigermaßen konsistenen Snapshot aller teilnehmenden Seiten ohne auch nur einmal in Besitz der Passwörter des EFs oder deren Lose zu sein. Wer den Ablauf nun noch nicht ganz verstanden hat, kann sich das angehängte Sequenzdiagramm ansehen. (1) dabei müssen natürlich nicht alle Lose verschoben werden, es kann ein Sicherheitspuffer aus dem EF für einen reibungslosen Betrieb bleiben. Dadurch hat man zwar nicht jedes Los in der Statistik, aber durch die breitere Akzeptanz des Verfahrens im Endeffekt eine viel höhere absolute Menge (2) damit gleichzeitig stattfindende Transaktionen am wenigsten den Gesamtlosestand beeinflussen (3) wenn dies nicht so wäre, und Seitenbetreiber direkt informiert werden würden, wenn sie ausgelesen wurden, könnten Sie ihre Lose auf einen anderen Account transferieren - mit dem sie kooperieren - in der Hoffnung, dass dessen Klamm-Account noch nicht ausgelesen wurde, dementsprechend würde die Losemenge doppelt gezählt werden. @chrissel: du kannst mich auch gerne kontaktieren, falls noch Fragen sind |
![]() |
![]() |
![]() |
#37 | ||||||||
P-almost-surely
Reg: 31.05.2010
Beiträge: 247
|
![]() Zitat:
Zitat:
Code:
![]() Ersetze A.B.C.D mit deiner IP Adresse. den localhost kann man sich in diesem Fall eigentlich auch sparen da dieser ja nicht benötigt wird. Diese Datei mit dem Script in einen eigenen Unterordner und schon ist das Script gegen Fremd-aufrufe abgesichert. Zumal es sonst möglich wäre deinen Server zu "beschäftigen" mit diesem Script, mehr als die EF Idee braucht man ja nicht um eine Anfrage an deinen Server auszulösen. Zitat:
Zitat:
Du kannst diese Möglichkeit ja auf Seiten begrenzen denen du vertraust. Bzw auf EFs. Wie zum Beispiel den der GLVA? (ich kann zwar nicht für die GLVA Sprechen, aber ich denke es wäre wesentlich einfacher zu überzeugen wenn, und ich sehe keinen Grund warum die GLVA ihren EF-Stand manipulieren sollte. Vorteil du hättest damit auch einen weiteren "größeren" (relativ) EF in der Liste ![]() Dies würde sich auch positiv auf das Gesamtprojekt auswirken, misstrauen ist gut, aber es nimmt auch Möglichkeiten. Du sagst ja selbst, du vertraust nicht allen Seiten, dies beinhaltet das du Seiten/EF-Usern vertrauen würdest. Diesen könntest du ja dieses Feature anbieten. Zitat:
Geändert von jgry (10.06.2011 um 16:38:57 Uhr) |
||||||||
![]() |
![]() |
![]() |
#38 | |
LoseTrader.de
|
![]()
Schau mal hier:
Zitat:
|
|
![]() |
![]() |
![]() |
#39 |
return void
|
![]()
Neija das genau das damit ersichtlich ist, ziemlich doof beschrieben...
Zudem muss mein Ansatz nicht bei Tresorlosen halt machen. Also wenn die Beschreibung so kacke ist und wirklich das gleiche beschreibt, sollte man die am besten aktualisieren und dies auch zur 1. Option machen, wer liest denn noch weiter, nachdem man ihm bei Option 1 sagt er soll sein EF-Passwort hergeben ... |
![]() |
![]() |
![]() |
#40 | ||
Woohooo!
|
![]() Zitat:
![]() Vielen Dank erst einmal für dein Mühe und überaus ausführliche Darstellung (sollte echt für nahezu jeden verständlich sein, auch die Grafik gefällt mir ![]() Nuuur.. meine Alternative sollte genau so eine Möglichkeit darbieten. Das Script auf dem Server des Teilnehmers wird aufgerufen, erhält den Befehl die Lose auf den klamm-Account zu transferieren. Anschließend werden diese mithilfe des Statistik-PWs ausgelesen und danach gibt es ein neuen Befehl diese wieder auf den EF zu transferieren. Sollte doch so sein wie dein Ansatz? Nur, dass deiner im allgemeinen sicherlich schöner ausgearbeitet ist (gerade das mit den 30sec z.B. gibt es bei mir nicht; wenn keine Antwort kommt, dass die Lose zurück sollen, gehen diese auch nicht zurück). Ich habe immer noch ein Problem damit, dass zu viele Lose wahrscheinlich im Tresor liegen werden und diese werden bei der 1. Option mit beachtet, daher hatte ich diese auch als 1. Option da gelassen. Zitat:
Aber wie hast du das mit den Tresorlosen vor? Wie kannst du die da mit einbeziehen? Aus dem Tresor kann man ja über die EF-API nichts entnehmen, nur Lose in den Tresor packen (wäre das anders würde der Tresor auch den Sinn verfehlen). Die können doch nur manuell, also wenn der User sich auf ef.klamm.de einloggt usw, auf einen klamm-Account transferiert werden. EDIT: ice-breaker, ich sitze gerade an der RSA Verschlüsslung und baue sonst noch ein paar Ideen mit in das EF-Script ein (die von jqry z.T.). Was ich gefunden habe an RSA-Implementation für PHP ist die Klasse von www.torsten-keil.net; die PEAR-Implementation sieht finde ich nicht so schön aus der Beschreibung nach. |
||
![]() ![]() |
![]() |
![]() |
#41 | ||||
return void
|
![]() Zitat:
Zitat:
![]() Wenn du die Variante noch ausbaust und es kostenlos als FWX und VMS Plugin bereitstellst, finden sich bestimmt noch einige mehr die da mitmachen würden. Zitat:
![]() Zitat:
Edit: Zend_Crypt_RSA benötigt OpenSSL, Torsen Keils Implementierung hingegen nicht (erfüllt aber auch nicht alle Sicherheitseigenschaften) und die Pear-Implementierung kann gar nicht verschlüsseln, bleibt dir also nur die Implementierung von Keil-Implementierung Geändert von ice-breaker (10.06.2011 um 17:16:03 Uhr) |
||||
![]() |
![]() |
![]() |
#42 |
P-almost-surely
Reg: 31.05.2010
Beiträge: 247
|
![]()
noch ein kleiner Hinweis zur Idee mit dem Hin und Herschieben der Lose.
Hier ist eine Auswertung um 0 Uhr eher ungünstig, um 0:10 werden einige den Dauerauftrag zur Sicherung der Lose in den Tresor aktiv haben. Daher kann es dort zu unschönen konflikten kommen, wenn die Buchungen etwas verzögert ablaufen und dann nicht zurückgebucht werden kann. Ich weiß nicht ob du auch schon dran gedacht hast, aber es sollten auch nur die Lose zurück Übertragen werden, die auch vorher auf dem Klamm Account vorhanden waren, nicht das jemand zur Zeit der Zählung auf dem Klamm Account Lose offen liegen hat, und die dann nach der Zählung ebenfalls auf den EF geflossen sind. |
![]() |
![]() |
![]() |
#43 | |
Cybos little helper :)
|
![]()
Die genannte Alternative mag schön und gut sein, aber ich HOFFE das die meisten Lose tatsächlich im EF-Tresor rumliegen und dann wird es schlicht und ergreifend schon nix mehr.
Die Seitenbetreiber mit denen ich im Kontakt bin, als auch ich selbst haben zumindest die meisten Lose einfach im Tresor und nur einen gewissen, meist sehr kleinen Teil, für Auszahlungen frei rumliegen. Zitat:
|
|
![]() |
![]() |
![]() |
#44 | |||
Woohooo!
|
![]() Zitat:
Muss ich mal schauen, ob sich so etwas einrichten lässt. Habe lange nichts mehr mit FWX und VMS gemacht. Diese habe ich auch soeben eingebaut. In meiner Testumgebung hat alles funktioniert, ich hoffe bei der nächsten Zählung gibt es damit keine Komplikationen. Zusätzlich habe ich ein kleines Installationsscript geschrieben, welches die EF-Daten direkt verschlüsselt in die Konfigurationsdatei speichert. Der Speicherort dieser Datei kann auch freigewählt werden. Zitat:
Zitat:
|
|||
![]() ![]() |
![]() |
![]() |
#45 | |
return void
|
![]() Zitat:
Um 3 Uhr morgens ist da das perfekte Zeitfenster ![]() |
|
![]() |
![]() |
![]() |
Stichworte |
klammlose, klammlosemenge, losemenge, losemenge.de |
Anzeige |
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
Themen-Optionen | |
![]() |
||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
[JavaScript] Anfänger braucht Hilfe | Exilas-mer | Programmierung | 8 | 07.06.2010 16:37:13 |
[S] Hilfe für diverse VMS-Addons - bis 100k für deine Hilfe | DasGuru | Lose4Scripts | 15 | 10.09.2008 20:59:39 |
Braucht ihr Hilfe? | Schwatten | Lose4Action | 4 | 22.07.2008 16:12:28 |
wintermute braucht Hilfe | wintermute | Kindergarten & sonstige Eiergeschäfte | 57 | 22.02.2007 08:22:39 |