Web-Security für Privatleute lernbar?

Yaerox

Hallo zusammen,

da ich unter anderem Interesse an der Wegprogrammierung habe, habe ich mich schon mehrmals mit dem Thema Web-Security auseinander gesetzt. Ich habe schon einige Stunden mit Recherche verbracht, allerdings würde mich mal eure Meinung interessieren, oder besser euer Rat.

Ich erzähl erstmal ein wenig wieso es mich interessiert. Zunächst versuche ich meine Arbeiten meist auf einem qualitativen hohen Niveau zu erstellen. Das heißt auch wenn es nur für mich ist, will ich gerne qualitativ dick auftragen wie ich es in einer Firma tun müsste/würde. Ich erhoffe mir daher einen tieferen Einblick in die Materie sowie Wissen, welches mich in meinem Berufsleben von Konkurrenten unterscheiden könnte.

Was mich interessiert ist das Thema Web-Security rund um Homepages. Mein Blick auf Webprogrammierung ist folgender. Hat man eine repräsentative Homepage kenne ich bisher keine Wege diese (wenn es vielleicht auch sinnlos ist) zu sichern. Ich meine es ist nur Text und vielleicht ein paar Bilder. Ich habe mal gehört man könne auch Bilddateien so sichern, dass man nicht mehr einfach einen rechtsklick auf die HP macht und sagt Bild speichern unter. Hier würde es mir reichen wenn ihr mir vielleicht sagen könntet ob ihr von so etwas schonmal gehört habt. Ich meine außer dem Design und vll. Texten wird auf einer repräsentativen Homepage normalerweise nichts anderes stehen was geklaut werden könnte. Kann man ein Design einer Homepage sichern? Ich muss sagen dies ist ein Punkt über den ich bis dato noch nicht so viel recherchiert habe.

Dann ist natürlich eine Homepage etwas anderes, wenn Sie einen LogIn hat sowie Forum und User die sich anmelden mehr Dinge tun können als Gäste. Hier wird eine Datenbank ins Spiel kommen was als neuen Punkt mgliche SQL-Injections mit sich trägt. Mir wurde mal gesagt: "Es hört sich primitiv an, aber wenn du sicher sein möchtest, muss du dich in dem Bereich SQL-Injections erkunden indem du lokale von dir angelegte Seiten versucht damit zu knacken.". Quasi learning by doing oder besser ich muss wissen wie sowas funktioniert, damit ich mich dagegen schützen kann? Ich habe zu dem Thema schon mehrmals Anhaltspunkte im Netz gesucht, wie ich am besten für so ein Thema anfange, aber mir fehlt ein richtiger Leitfaden. Was haltet ihr davon und habt ihr einen Tipp wie ich sowas lernen kann (die Sicherheit natürlich) ? Es sind Fragen wie: Übertrage ich alle Daten verschlüsselt? Wenn ja, wo beginne ich bereits Daten zu verschlüsseln? die mich ebenfalls an dieser Stelle interessieren.

Da meist solche Homepages in Verbindung mit einem CMS stehen wäre hier die Frage, wenn ich eine Homepage mit einem fertigen CMS baue, muss ich mir dann gar keine Sorgen mehr um Sicherheit machen (davon ausgegangen ich nutze ein sich bereits bewährtes CMS)? Noch eine Stufe schärfer wird es hier ja, wenn ein OnlineShop dazu kommt. Ich meine theoretisch gesehen ist die Sicherheit von Kudnendaten meiner Meinung nach das wichtigste. Wie seht ihr die Lage dort?

Mich würde interessieren, ob ich mir dieses Thema auch selber beibringen kann. Einige Bekannte von mir die in der Wirtschaft arbeiten hatten z.B. Schulungen wo Ihnen alles vermittelt worden ist. Nur sind dies natürlich auch Dinge die Sie nicht einfach erzählen dürfen und ich mich daher selbst auf die Suche nach Lernmaterial machen möchte

So Far

#Edit: Ich möchte noch kurz erwähnen, dass meine Wissbegierde an diesem Thema auch nicht einfach nur durch ein „Nutze diese Funktion an diesen Stellen dann ist es sicher.“ gestoppt ist. Ich möchte bei sowas gerne auch verstehen wieso man es macht, und warum es effektiv ist. Beispiel: StringEscape an den Stellen bei denen eine Eingabe möglich ist, die Auswirkungen auf die DB haben kann.

General Kaboom

Also ich hab dazu ja mal Kürzlich einen Kurs besuchen müssen.
Generell ist es eigentlich logisch: du musst zuerst lernen einzudringen, um danach verstehen zu können WIESO eine Massnahme genau DIESE Art des Eindringens verhindert.
Du wirst quasi ungewollt zum Hacker selbst.

Das selbst zu erlernen ist also zwar ohne Vorkenntnisse sicher nicht einfach, aber Grundsätzlich möglich würde ich sagen.
Ich habe vieleicht auch noch ein bisschen was von dem Kurs.
Der Kurs war auch eher mit Basis-Wissen gespickt (ehrlich gesagt hab ich auch nie tiefer reingeschaut), aber wenn ich die Unterlagen noch habe kann ich sie dir mal geben.

TheShadowAE

Ich hab auch schon probiert mir sowas selber beizubringen (Erfahrungsaustausch per PM oder hast du Skype?) Ich hab 2 Sachen gefunden: leichte Anwendungen+Tutorial von den 2 bekanntesten Lücken (XSS und SQL-Injection) mit einer Seite auf der man legal diese Grundlagen testen kann. Und zweitens ein Programm, das eine virtuelle Testumgebung für sehr viele bekannte Lücken gibt. Ich hab leider den Namen vergessen. Das bedeutet dann aber alles selber "by doing" lernen und das ist halt langwierig etc. (aber dafür natürlich besser)

Yaerox

Erstmal euch beiden Danke für eure Unterstützung, und ShadowAE ich werd dir meine Skypedaten mal per PM schicken

4ern

Mit Webdesign & Programmierung habe ich bereits viele Erfahrungen sammeln können.

- Die Grafiken und Texte kann man nicht Sichern. Du kannst die Bilder als Hintergrund in einem DIV Container hinterlegen, dadurch kann man diese nicht mehr Speicher, aber es ist wirklich ein leichtes über den Quelltext die Quelle des Bilder herauszufinden. Also im Grund ist es aktuell nicht möglich Bilder und Texte zu Sichern, bzw. eine Methode fällt mir da ein und das wäre Flash (Aber mal ganz ehrlich jeder kann ein Screenshot machen. Zudem wäre das sehr schlecht für die Suchmaschinenoptimierung... denn Suchmaschinen lesen nur den Text auf deiner Internseite...

- Man arbeitet Grundsätzlich mit PHP + MD5 Verschlüsselung + MySQL. Somit ist die Übertragung der Daten ziemlich sicher. Auf deiner MySQL-Datenbank sind dann nur verschlüsselte Daten, welche nur von deiner Seite entschlüsselt werden können. Zudem gibt es auch die Möglichkeit die Daten über SSL zu übertragen.

- CMS Systeme. Auf die großen CMS Systeme kann man sich ruhig verlassen. z. B. Wordpress, Jomla, Drupal usw... Diese werden ständig aktualisiert und an die neuste Technik angepasst.

Ich persönlich arbeite sehr gerne mit Wordpress.

James · AutoIt Version (Prod): 3.3.14.2

Zitat von TheShadowAE

Und zweitens ein Programm, das eine virtuelle Testumgebung für sehr viele bekannte Lücken gibt. Ich hab leider den Namen vergessen. Das bedeutet dann aber alles selber "by doing" lernen und das ist halt langwierig etc. (aber dafür natürlich besser)

Damn Vulnerable Web Application?

**water**

Ein guter Start ist das OWASP Projekt (Open Web Application Security Project). Hier ein Überblick über die 10 häufigsten Sicherheitsprobleme.

Yaerox

@rynow: Hast du auch schon Erfahrungen mit OnlineShops? Da denke ich ist Sicherheit nochmal verstärkt gefragt.

#Edit: Da warst du n kleinen Augenblick schneller water Aber das schaut wie ein super Leitfaden aus, vielen vielen Dank.

#Edit2: Auch ein Danke an dich James. Werd ich mir alles nach und nach nun anschauen

4ern

Es kommt immer drauf an wie groß dein Shop werden soll. Wenn er etwas kleiner ist, dann kannst du das ShopSystem von Wordpress anschauen, findest du unter Plugins....

**water**

Hier ein Link auf die 2013 Version.

Yaerox

@rynow: Joa ich denke ich kann ja sonst erstmal mit dem kleinen von Wordpress anfangen, alternativ auf etwas größeres wie xt:commerce umsteigen.

Danke euch allen soweit.

TheShadowAE

Ich glaube ich meinte OWASP. Vielleicht war es aber auch doch was anderes