-
Notifications
You must be signed in to change notification settings - Fork 43
/
Copy pathhiding.xml
82 lines (80 loc) · 2.81 KB
/
hiding.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: sammywg Status: ready -->
<chapter xml:id="security.hiding" xmlns="http://docbook.org/ns/docbook">
<title>PHP verstecken</title>
<para>
Generell ist Sicherheit durch Unklarheit eine der schwächsten Formen von
Sicherheit. Aber in manchen Fällen ist ein klein wenig mehr an zusätzlicher
Sicherheit wünschenswert.
</para>
<para>
Ein paar einfache Techniken helfen, <acronym>PHP</acronym> zu verstecken, um
nach Schwächen in Ihrem System suchende Angreifer unter Umständen langsamer
zu machen. Wenn Sie in Ihrer &php.ini; expose_php auf <literal>off</literal>
setzen, reduzieren Sie damit die zur Verfügung stehenden Informationen.
</para>
<para>
Eine andere Taktik ist, den Webserver wie z.B. Apache entweder mittels
einer &htaccess;-Direktive oder in der Apache-Konfigurationsdatei selbst
so einzustellen, dass dieser verschiedene Dateitypen durch
<acronym>PHP</acronym> parst. So können Sie irreführende Dateierweiterungen
verwenden:
<example>
<title>PHP als andere Sprache ausgeben</title>
<programlisting role="apache-conf">
<![CDATA[
# Lasse PHP-Code wie andere Arten von Code aussehen
AddType application/x-httpd-php .asp .py .pl
]]>
</programlisting>
</example>
Oder komplett unklar machen:
<example>
<title>Verwenden von unbekannten Typen für PHP-Dateierweiterungen</title>
<programlisting role="apache-conf">
<![CDATA[
# Lasse PHP Code wie unbekannte Typen aussehen
AddType application/x-httpd-php .bop .foo .133t
]]>
</programlisting>
</example>
Oder verstecken Sie ihn als <acronym>HTML</acronym>-Code, was einen leichten
Performanceverlust bedeutet, da so alle <acronym>HTML</acronym>-Dateien durch
die <acronym>PHP</acronym>-Engine geparst werden:
<example>
<title>Verwenden von <acronym>HTML</acronym>-Typen für
PHP-Dateierweiterungen</title>
<programlisting role="apache-conf">
<![CDATA[
# Lasse PHP-Code wie HTML aussehen
AddType application/x-httpd-php .htm .html
]]>
</programlisting>
</example>
Um dies effektiv arbeiten zu lassen, müssen Sie Ihre
<acronym>PHP</acronym>-Dateien nach den obigen Dateierweiterungen umbenennen.
Obwohl dies eine Form der Sicherheit durch Verhüllung ist, ist es eine
geringfügige präventive Maßnahme mit nur wenigen Nachteilen.
</para>
</chapter>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->