Sicherheitsfrage

Dear visitor, welcome to Coder Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

HMR

Trainee

Posts: 12

Saturday, July 15th 2006, 10:09pm

Sicherheitsfrage

Hi,
ich hab mal eine Frage.
Also ich hab vor ein Interface für einen Kunden zu schreiben.
Das Interface soll mit einem Gateway über HTTP kommunizieren.
Das Gateway wird von einer anderen Firma gestellt.
Ansprechen werd ich es über curl mit einer xml Datei.

Also was ich wissen will ist, kann man das mitlesen?
Könnte ein Interface User mitlesen was ich an das Gateway sende?
Danke schonmal.

Gruß
Henning

Torben Brodt

Administrator

Posts: 8,454

Sunday, July 16th 2006, 11:45am

da du nicht kontrollieren kannst, was die andere Firma für ein netzwerk hat würde ich dir HTTPS empfehlen
Ansonsten besteht immer die Möglichkeit das jmd mit einem Paketsniffer mitlauscht.

CURL zumindest kann HTTPS
Aber du fragst ob ein "Interface User" mitlesen kann...
Ich denke du programmierst das Interface - also solltest du doch steuern können, wer was lesen kann?

PS: Da du in PHP postest, nehme ich an, dass mit Interface eine Art Weboberfläche gemeint die (vermutlich über fsockopen) irgendwelche kommandos schickt?

Latest blogs: Neuer EX4 Server, Java EE Summit im Juni in München, Kostenlos zur Cebit + Windows 8 Entwickler Schulung

HMR

Trainee

Posts: 12

Sunday, July 16th 2006, 12:20pm

Hi,
es geht um eine Domain Verwaltung.

Das Prinzip ist einfach.

In der Oberfläche wählt jemand "Alle Domains anzeigen" dann erzeugt das Script eine XML Datei, und sendet die über curl an das Gateway und bekommt eine neue XML mit der Antwort zurück.

Hab selber mit curl noch nie gearbeitet, hab mir nur das Beispiel was bei der Gateway Beschreibung dabei war angeschaut.

Meine Frage ist eben ob jemand auf Browser Ebene mitlesen könnte, weil bei jeder Anfrage in der sendenden XML Datei, ein Username und Passwort mitgesendet werden muss was die Kunden nicht wissen darf.

Aber eigendlich müste das doch alles auf der Server Ebene passieren oder? Im Browser kommt ja nur an was ich ausgebe.

Will da nur nochmal auf nummer sicher gehen. Deshalb die Frage.

Gruß
Henning

Torben Brodt

Administrator

Posts: 8,454

Sunday, July 16th 2006, 12:37pm

Hi,
wenn du die authentifizierung im php script hast - also nicht gerade mit versteckten post feldern arbeitest, dann hat der kunde keine chance das mitzulesen - auch nicht mit paketsniffern.

Gateway <---XML Austausch (+Authentifizierung)--> Webserver <--Anfrage--> Kunde

bleibt nur die ungewissheit wer zwischen gateway und webserver mitliest...
kenne mich mit CURL auch nicht wirklich aus - aber ich glaube die umstellung von HTTP auf HTTPS ist kein großes Problem.

gruß, torben

Latest blogs: Neuer EX4 Server, Java EE Summit im Juni in München, Kostenlos zur Cebit + Windows 8 Entwickler Schulung