registrieren registriertes Mitglied


Anzeige

Anzeige

PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

Stell hier Deine Frage zu: HTML, CSS, PHP, MySQL, htaccess, robots.txt, Javascript usw
top
PostRank 8
PostRank 8
Beiträge: 686
Registriert: 14.07.2005, 17:09

Beitrag top » 15.10.2020, 14:43 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

PHP ist nicht meine Stärke, daher frage ich hier mal was ihr davon haltet.

Auf einem per Passwort geschütztem Server will ich einen Wert auslesen und auf der eigenen Seite anzeigen lassen.
Vorbereitet hatte ich das Auslesen eines Testservers in dieser Form:

Code: Alles auswählen

<?php
$response = file_get_contents("https://Name:Passw0rt@example.org/bla/blub");
echo $response; 
?>
Nun habe ich die finale Adresse des Servers, welche leider nur eine feste IP hat.
Ich hatte es zuerst folgendermaßen versucht:

Code: Alles auswählen

<?php
$response = file_get_contents("https://Name:Pa\$\$wort@123.456.789.789:9876/bla/blub");
echo $response; 
?>
Was dann aber leider daran scheitert, dass für die IP kein gültiges Zertifikat möglich ist.

In den Weiten des Internets (genauer gesagt hier) habe ich eine Lösung gefunden den SSL-Check abzuschalten.

Folgender Code funktioniert jetzt: (Mal davon abgesehen, dass ich hier natürlich nur Dummi-Adressen eingesetzt habe. ;-) )

Code: Alles auswählen

<?php
$arrContextOptions=array(
    "ssl"=>array(
        "verify_peer"=>false,
        "verify_peer_name"=>false,
    ),
);  
$response = file_get_contents("https://Name:Pa\$\$wort@123.456.789.789:9876/bla/blub", false, stream_context_create($arrContextOptions));
echo $response; 
?>
Nun bin ich mir nicht sicher was die Sicherheit der Abfrage betrifft. Es werden zwar keine sensiblen Daten übertragen, aber ärgerlich wäre es natürlich schon, wenn jemand die Zugangsdaten für irgendwelchen Unfug nutzen würde.

Werden "Name" und "Pa$$wort" weiterhin verschlüsselt übertragen oder fällt jemanden ein anderer Sicherheitsaspekt ein, warum man das so auf keinen Fall online stellen sollte?

Danke schon mal fürs Lesen.
top

Anzeige von:

Content Marketing Strategie von ABAKUS Internet Marketing
Ihre Vorteile:
  • einzigartige Texte
  • suchmaschinenoptimierte Inhalte
  • eine sinnvolle Content-Strategie
  • Beratung und Umsetzung
Jetzt anfragen: 0511 / 300325-0

Benutzeravatar
arnego2
PostRank 9
PostRank 9
Beiträge: 2032
Registriert: 23.02.2016, 13:55
Kontaktdaten:

Beitrag arnego2 » 15.10.2020, 15:07 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

Mit einem Domain von https://www.namecheap.com/domains/new-tlds/explore/ (.cyou für $1.49 Jahr) könntest du dir deine IP mit SSL versehen und wärst einen Schritt weiter.
Arnego2 <Webseiten Umbau ab 80 Euro>

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 2005
Registriert: 26.09.2011, 23:31

Beitrag Hanzo2012 » 15.10.2020, 15:29 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

@arnego2: So wie ich das verstehe, handelt es sich um einen fremden Server, nicht um seinen eigenen.

@top: Wenn die Prüfung des Zertifikats abgeschaltet wird, könnte ein Man in the Middle-Angriff durchgeführt werden, bei dem jemand deine Kommunikation abfängt und sich als der Server ausgibt. Klingt für mich aber eher unrealistisch.

supervisior
PostRank 9
PostRank 9
Beiträge: 2249
Registriert: 26.06.2006, 09:11

Beitrag supervisior » 15.10.2020, 15:45 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

Ich würde das nicht mit file_get_contents, sondern mit cURL machen. Nur mal so als Beispiel:

https://stackoverflow.com/questions/854 ... t-contents

top
PostRank 8
PostRank 8
Beiträge: 686
Registriert: 14.07.2005, 17:09

Beitrag top » 15.10.2020, 16:29 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

Hanzo2012 hat geschrieben:
15.10.2020, 15:29
@arnego2: So wie ich das verstehe, handelt es sich um einen fremden Server, nicht um seinen eigenen.
...
So ist es. Es ist nicht meine IP. Ein anderer Dienstleister hat unserem Kunden den Server für eine spezielle Anwendung aufgestellt und eingerichtet. Daraus möchte er einen Wert auf der Webseite anzeigen lassen Mein Ansprechpartner dort meinte, dass die ohne Domain kein Zertifikat erstellen können. Der scheint mir leider nicht der kompetenteste zu sein und habe keine Lust denen zu erklären wie die das machen sollen. (Die haben mich mit ungenauen und falschen Angaben schon viel zu viel Zeit gekostet. Allein dass die mir ein $ in das Passwort gepackt haben, hat mich einige graue Haare gekostet. :evil: )

Daher meine Frage an die PHP-Experten hier, ob diese Abfrage offensichtliche Sicherheitslücken aufreißt.
Hanzo2012 hat geschrieben:
15.10.2020, 15:29
...
@top: Wenn die Prüfung des Zertifikats abgeschaltet wird, könnte ein Man in the Middle-Angriff durchgeführt werden, bei dem jemand deine Kommunikation abfängt und sich als der Server ausgibt. Klingt für mich aber eher unrealistisch.
Zumal die PW-Übermittlung ja nicht von einem Privatrechner, sondern von dem (Strato-)Server kommt auf dem die Anfrage gesendet wird. Ich denke die Netzanbindung beim Kunden-Server vor Ort sollte eigentlich auch halbwegs sicher sein. Wenn da jemand rein käme, wäre mein Passwort vermutlich auch nicht mehr nötig.

@supervisior: Eigentlich ist das Script noch etwas komplexer, da mir ein JSON-Response geliefert wird, aus dem ich mir nur zwei von ein paar Dutzend Werten rauspicke. Hier habe ich das nur auf meine spezielle Frage reduziert.

Anzeige von:

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.


staticweb
PostRank 9
PostRank 9
Beiträge: 2093
Registriert: 04.05.2016, 14:34

Beitrag staticweb » 15.10.2020, 16:48 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

> Nun bin ich mir nicht sicher was die Sicherheit der Abfrage betrifft. Es werden zwar keine sensiblen Daten übertragen, aber ärgerlich wäre es natürlich schon, wenn jemand die Zugangsdaten für irgendwelchen Unfug nutzen würde.

Mit dem Zertifikat wird die Gegenstelle überprüft. Wenn du sowas machst musst du sichergehen, dass du mit dem richtigen Server kommunizierst!

supervisior
PostRank 9
PostRank 9
Beiträge: 2249
Registriert: 26.06.2006, 09:11

Beitrag supervisior » 15.10.2020, 17:21 PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

top hat geschrieben:
15.10.2020, 16:29
@supervisior: Eigentlich ist das Script noch etwas komplexer, da mir ein JSON-Response geliefert wird, aus dem ich mir nur zwei von ein paar Dutzend Werten rauspicke. Hier habe ich das nur auf meine spezielle Frage reduziert.
Das macht ja keinen Unterschied. Du bekommst mit cURL ja genau das Gleiche zurück und könntest dann noch mit einem Custom Header den Zugriff auf den Request noch besser absichern, bzw. bräuchtest dann keine Zugangsdaten übermitteln. Sag ich jetzt mal so aus der Hüfte, hab so was ähnliches aber schon mal gemacht. Allerdings nicht mit JSON.

Antworten