Sicherheitsmaßnahmen

[Kerli]

IPs werden normalerweise in jedem Logfile gespeichert, also nicht nur kurzzeitig sondern bis die Logs gelöscht werden (falls man sie löscht). Um Angriffe zu erkennen bzw. blockieren wird gerne zb. Fail2ban eingesetzt. Dabei werden die Logs analysiert und entsprechende IPs eine gewisse Zeit gesperrt.

[Dominik]

SQL-Injection
XSS
CRSF
Fremdincludes
Sessionmaßnahmen(regenerate/ip/cookie...)
Hashen von Passwörtern/wichtigen Daten
Keine Informationen über vorhandene Kunden beim Login ausgeben
SSL

Wenn du die beachtest hast du die einfachsten und gängisten Probleme ausgeschlossen.

[nufan]

Wenn du die beachtest hast du die einfachsten und gängisten Probleme ausgeschlossen.

Um die Liste noch ein klein wenig länger zu machen:
http://owasptop10.googlecode.com/files/ ... 202010.pdf

[Fisherman]

Ist eigentlich ein 100% sicheres System machbar? Ich meine, man kann ja alle Sicherheitslücken schließen, und mit der Zeit würde man doch alle beheben?

Es gibt kein 100% sicheres System.
Beispiel:
Du betreibst einen Media-Server über WLan in deinen 4 Wänden um nicht die ganzen Kabel in der Whg zu verlegen.
Nun kannst du deine Software "100%ig" sicher gestalten und WPA2 benutzen, alles auf dem "neusten" Stand und dennoch kann ein böser Bub bei Dir um die Ecke (im WLan Bereich) dich vom Netz nehmen (Deauth Pakete versenden). Dagegen bist du machtlos, da die Management Pakete im 802.11 Std. unverschlüsselt übertragen werden und akzeptiert werden! Dein Client wird immer weiter versuchen sich neu anzumelden und nach einer gewissen Zeit abbrechen und es aufgeben ....

[Dominik]

Nunja hier gehts ja draum das du deinen eigenen Code sicherer machst.
Das jemand auch das Rechenzentrum oder Nameserver etc knacken kann ist ja wieder was anderes.

Btw man sollte auch nicht als Anfänger unbedingt selbst hosten