Sicherheitsfrage

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sicherheitsfrage

    Hi,
    ich hab mal eine Frage.
    Also ich hab vor ein Interface für einen Kunden zu schreiben.
    Das Interface soll mit einem Gateway über HTTP kommunizieren.
    Das Gateway wird von einer anderen Firma gestellt.
    Ansprechen werd ich es über curl mit einer xml Datei.

    Also was ich wissen will ist, kann man das mitlesen?
    Könnte ein Interface User mitlesen was ich an das Gateway sende?
    Danke schonmal.

    Gruß
    Henning

  • da du nicht kontrollieren kannst, was die andere Firma für ein netzwerk hat würde ich dir HTTPS empfehlen
    Ansonsten besteht immer die Möglichkeit das jmd mit einem Paketsniffer mitlauscht.

    CURL zumindest kann HTTPS
    Aber du fragst ob ein "Interface User" mitlesen kann...
    Ich denke du programmierst das Interface - also solltest du doch steuern können, wer was lesen kann?

    PS: Da du in PHP postest, nehme ich an, dass mit Interface eine Art Weboberfläche gemeint die (vermutlich über fsockopen) irgendwelche kommandos schickt?

  • Hi,
    es geht um eine Domain Verwaltung.

    Das Prinzip ist einfach.

    In der Oberfläche wählt jemand "Alle Domains anzeigen" dann erzeugt das Script eine XML Datei, und sendet die über curl an das Gateway und bekommt eine neue XML mit der Antwort zurück.

    Hab selber mit curl noch nie gearbeitet, hab mir nur das Beispiel was bei der Gateway Beschreibung dabei war angeschaut.

    Meine Frage ist eben ob jemand auf Browser Ebene mitlesen könnte, weil bei jeder Anfrage in der sendenden XML Datei, ein Username und Passwort mitgesendet werden muss was die Kunden nicht wissen darf.

    Aber eigendlich müste das doch alles auf der Server Ebene passieren oder? Im Browser kommt ja nur an was ich ausgebe.

    Will da nur nochmal auf nummer sicher gehen. Deshalb die Frage.

    Gruß
    Henning

  • Hi,
    wenn du die authentifizierung im php script hast - also nicht gerade mit versteckten post feldern arbeitest, dann hat der kunde keine chance das mitzulesen - auch nicht mit paketsniffern.

    Gateway <---XML Austausch (+Authentifizierung)--> Webserver <--Anfrage--> Kunde

    bleibt nur die ungewissheit wer zwischen gateway und webserver mitliest...
    kenne mich mit CURL auch nicht wirklich aus - aber ich glaube die umstellung von HTTP auf HTTPS ist kein großes Problem.

    gruß, torben