Mailinglisten-Archive |
* Stefan Weber: Hallo, > Wenn ich nicht haben will, dass Poweruser die Prüfroutinen einsehen, dann > aus Sicherheitsgründen. Sorgen machen gemeinhin nicht die normalen User > sondern die scriptkiddies und der gleichen. Ist dir die Phrase "Security by Obscurity" bekannt? > Beim 'basteln' meiner Formulare halte ich mich nämlich durchaus für > jemanden, der validiert, dabei auch schon mal was übersieht. Wer weiß, wie > validiert wird, weiß auch, welche Fehler bei der Eingabe zulässig sind. Das ist zwar korrekt, verschiebt jedoch das Problem nur auf die Geheimhaltung dieser Fehler. Ein ausreichend versierter, mit genügend Zeit oder Glück ausgestatteter Angreifer wird auch ohne die Offenlegung der clientseitigen Prüfroutinen einen Angriff durchführen können. Nota bene: Für automatisierte Script-Kiddie-Tools (aka Klinkendrücker) ist es schlicht egal, ob die clientseitigen Prüfroutinen bekannt sind oder nicht. Schrotflintenprinzip. > Darum hielte ich (derzeit) einen Mix, nämlich die Validierung mit php auf > dem Server zu vollziehen und einen Wert zurückzugeben, der von Javascript > ausgewertet wird (habs noch nicht ausprobiert) für OK, jedenfalls solange, > bis ich es geschafft habe, mich mit AJAX zu beschäftigen. Ich empfehle, immer im Auge zu behalten, dass JavaScript rein optional sein _sollte_. Denn im Gegensatz zur serverseitigen Überprüfung sind die Fähigkeiten des Clients praktisch unbekannt (wenn nicht gerade für eine stark eingeschränkte Zielgruppe entwickelt wird). Gruß, Christoph
php::bar PHP Wiki - Listenarchive