PHP: Sicherheitsfrage beim Abschalten des SSL-Checks

[top]

PHP ist nicht meine Stärke, daher frage ich hier mal was ihr davon haltet.

Auf einem per Passwort geschütztem Server will ich einen Wert auslesen und auf der eigenen Seite anzeigen lassen.
Vorbereitet hatte ich das Auslesen eines Testservers in dieser Form:

Code: Alles auswählen

<?php
$response = file_get_contents("https://Name:Passw0rt@example.org/bla/blub");
echo $response; 
?>

Nun habe ich die finale Adresse des Servers, welche leider nur eine feste IP hat.
Ich hatte es zuerst folgendermaßen versucht:

Code: Alles auswählen

<?php
$response = file_get_contents("https://Name:Pa\$\$wort@123.456.789.789:9876/bla/blub");
echo $response; 
?>

Was dann aber leider daran scheitert, dass für die IP kein gültiges Zertifikat möglich ist.

In den Weiten des Internets (genauer gesagt hier) habe ich eine Lösung gefunden den SSL-Check abzuschalten.

Folgender Code funktioniert jetzt: (Mal davon abgesehen, dass ich hier natürlich nur Dummi-Adressen eingesetzt habe. )

Code: Alles auswählen

<?php
$arrContextOptions=array(
    "ssl"=>array(
        "verify_peer"=>false,
        "verify_peer_name"=>false,
    ),
);  
$response = file_get_contents("https://Name:Pa\$\$wort@123.456.789.789:9876/bla/blub", false, stream_context_create($arrContextOptions));
echo $response; 
?>

Nun bin ich mir nicht sicher was die Sicherheit der Abfrage betrifft. Es werden zwar keine sensiblen Daten übertragen, aber ärgerlich wäre es natürlich schon, wenn jemand die Zugangsdaten für irgendwelchen Unfug nutzen würde.

Werden "Name" und "Pa$$wort" weiterhin verschlüsselt übertragen oder fällt jemanden ein anderer Sicherheitsaspekt ein, warum man das so auf keinen Fall online stellen sollte?

Danke schon mal fürs Lesen.
top

[arnego2]

Mit einem Domain von https://www.namecheap.com/domains/new-tlds/explore/ (.cyou für $1.49 Jahr) könntest du dir deine IP mit SSL versehen und wärst einen Schritt weiter.

[Hanzo2012]

@arnego2: So wie ich das verstehe, handelt es sich um einen fremden Server, nicht um seinen eigenen.

@top: Wenn die Prüfung des Zertifikats abgeschaltet wird, könnte ein Man in the Middle-Angriff durchgeführt werden, bei dem jemand deine Kommunikation abfängt und sich als der Server ausgibt. Klingt für mich aber eher unrealistisch.

[supervisior]

Ich würde das nicht mit file_get_contents, sondern mit cURL machen. Nur mal so als Beispiel:

https://stackoverflow.com/questions/854 ... t-contents

[top]

@arnego2: So wie ich das verstehe, handelt es sich um einen fremden Server, nicht um seinen eigenen.
...

So ist es. Es ist nicht meine IP. Ein anderer Dienstleister hat unserem Kunden den Server für eine spezielle Anwendung aufgestellt und eingerichtet. Daraus möchte er einen Wert auf der Webseite anzeigen lassen Mein Ansprechpartner dort meinte, dass die ohne Domain kein Zertifikat erstellen können. Der scheint mir leider nicht der kompetenteste zu sein und habe keine Lust denen zu erklären wie die das machen sollen. (Die haben mich mit ungenauen und falschen Angaben schon viel zu viel Zeit gekostet. Allein dass die mir ein $ in das Passwort gepackt haben, hat mich einige graue Haare gekostet. )

Daher meine Frage an die PHP-Experten hier, ob diese Abfrage offensichtliche Sicherheitslücken aufreißt.

...
@top: Wenn die Prüfung des Zertifikats abgeschaltet wird, könnte ein Man in the Middle-Angriff durchgeführt werden, bei dem jemand deine Kommunikation abfängt und sich als der Server ausgibt. Klingt für mich aber eher unrealistisch.

Zumal die PW-Übermittlung ja nicht von einem Privatrechner, sondern von dem (Strato-)Server kommt auf dem die Anfrage gesendet wird. Ich denke die Netzanbindung beim Kunden-Server vor Ort sollte eigentlich auch halbwegs sicher sein. Wenn da jemand rein käme, wäre mein Passwort vermutlich auch nicht mehr nötig.

@supervisior: Eigentlich ist das Script noch etwas komplexer, da mir ein JSON-Response geliefert wird, aus dem ich mir nur zwei von ein paar Dutzend Werten rauspicke. Hier habe ich das nur auf meine spezielle Frage reduziert.

[staticweb]

> Nun bin ich mir nicht sicher was die Sicherheit der Abfrage betrifft. Es werden zwar keine sensiblen Daten übertragen, aber ärgerlich wäre es natürlich schon, wenn jemand die Zugangsdaten für irgendwelchen Unfug nutzen würde.

Mit dem Zertifikat wird die Gegenstelle überprüft. Wenn du sowas machst musst du sichergehen, dass du mit dem richtigen Server kommunizierst!

[supervisior]

@supervisior: Eigentlich ist das Script noch etwas komplexer, da mir ein JSON-Response geliefert wird, aus dem ich mir nur zwei von ein paar Dutzend Werten rauspicke. Hier habe ich das nur auf meine spezielle Frage reduziert.

Das macht ja keinen Unterschied. Du bekommst mit cURL ja genau das Gleiche zurück und könntest dann noch mit einem Custom Header den Zugriff auf den Request noch besser absichern, bzw. bräuchtest dann keine Zugangsdaten übermitteln. Sag ich jetzt mal so aus der Hüfte, hab so was ähnliches aber schon mal gemacht. Allerdings nicht mit JSON.

[elmex]

Man kann sich auch Probleme machen, wo keine sind!

Dein Script fragt Daten eines Dritten (der dich schon viel Zeit gekostet hat) ab. Dabei brauch sich Dein Script aber keine Gedanken um die Sicherheit auf Seiten des Drittanbieters machen! Wenn die das so wollen und so für sicher halten, bist DU doch fein raus

[nerd]

Ein anderer Dienstleister hat unserem Kunden den Server für eine spezielle Anwendung aufgestellt und eingerichtet. Daraus möchte er einen Wert auf der Webseite anzeigen lassen

Na dann brauchst du aber eine vernuenftige API die username und passwort eben als teil des requests mit uebermittelt, und nicht abkackt wenn sich domain, ip oder ssl aendern.

Ansonsten wuerde ich auch sagen das curl die flexibelste option ist um daten mit anderen servern auszutauschen.