Hi,

nachdem also nun klar ist, das meine erste Reaktion (die Sache mit den zu Berge stehenden Haaren, Du erinnerst Dich?) zu Recht erfolgte ...

Mein Auftraggeber möchte aber nicht, dass die Scripts rausgegeben werden u.a. deswegen, weil ja dann der Datenbankzugang für den Kunden sichtbar wird und weil updates automatisch erfolgen können, ohne dass die Kunden neue Scripts integrieren müssen.

An und für sich eine nicht zwingend verwerfliche Angelegenheit, wie ich finde.

Nein, eine wirklich gute Idee sogar. Man mag über die Gründe streiten, aber vom sicherheitstechnischem Standpunkt ist indirekter Zugriff vorzuziehen.

Meine Frage diesbezüglich war, ob es andere und neue Sicherheitslücken gibt als bei üblichen Gets und Posts, aber z.B. auch wie es sich mit Sessions verhält (werden die auf "meinem" oder auf "seinem" Server abgelegt) oder wie überhaupt ein Script auf ein entferntes Post-Formular reagiert. Eben einfach ob da jemand Erfahrungen mit hat.

Der Kunde sollte einfach den Service nutzen können. Keine Includes oder sonstigen Driss sondern schlichte Frage-Antwort-Spielchen:

[SSL-Verbindung]
Kunde: gib mir eine Liste aller Filme auf denen ein Mops zu sehen ist
Host: Ihre ID bitte
Kunde: ID
Host: 1,"Kleine Hunde, Teil 22";2,"Möpse in allen Farben"; ...

Der Kunde verfährt also einfach so, als ob er die Datenbank selber abfragt, jedoch stattdessen eine einfach zu bedienende API bekommt. Gibt der Kunde euch ein Template, schmeißt ihr halt einfach alle Daten da rein.

Die obige Unterhaltung kann mühelos via PHP laufen, der Endabnehmer bekommt davon rein gar nichts mit, wenn der Kunde sich nicht allzu blöd anstellt. Aber selbst das ist dann im Grunde genommen auch nur wieder eine Möglichkeit einen Service anzubieten und somit auch damit Geld zu verdienen ;-)

[...]Das hiesse ja, wenn ich böse wäre und er bereit die include-Zeile einzufügen, könnte ich z.B. seinen Server ausspionieren etc. Wie ist das denn dann mit z.B. RSS-Newsfeeds, könnten die Anbieter da nicht auch Schindluder mit treiben, wenn obiges zutrifft?

Theoretisch ja, wenn der Abnehmer das zuläßt. Aber RSS ist prinzipiell auch erstmal kein ausführbarer Code.

PS: Ein nettes Besipiel für einen Verein dem ich nicht blind vertrauen würde wäre:
http://www.cducsu.de/rssfeed.aspx?hash=c2VjdGlvbj02JnN1YnNlY3Rpb249NCZpZD0wJg==&control=2027511011911510773201208271041112011624998

Aha, ein typisches Beipiel, warum ein include() völliger Blödsinn ist und andere Leute Böses vermuten läßt. (Ich nicht, ich glaube, die sind wirklich so ... ähem ... ungeschickt ;-)
http://www.cducsu.de/rss/rss_style.inc ist ein simples style-Element - die 7 Zeilen kann man auch noch per C&P einbasteln, die anderer Datei ist auch nur schlichtes und zudem nicht ganz sauberes HTML, das kann man auch eben per C&P einbauen. Da die rechtliche Situation wg C&P nicht ganz klar ist (die nötige Schöpfungshöhe wurde ja erst neulich durch ein OLG angezweifelt) würde ich das aber auch nicht machen wollen. Und ein RSS zu parsen, dafür wird viel angeboten, auch in PHP. Allerdings hat die Formulierung "Nutzen Sie dazu von uns vorbereiteten Quelltext." eine recht strikte Anmutung, das man _ausschließlich_ deren Code nehmen soll.

Ob man denen sagen soll, das das ein Sicherheitsloch, groß wie ein Braunkohlentagebau ist?

Auch schön:"Die CDU/CSU-Fraktion behält sich das Recht vor, Websites ohne Angabe von Gründen die Integration von Inhalten zu untersagen"
Ich selber behalte mir dann vor, die CDU/CSU ohne Angaben von Gründen nicht zu wählen.

Allerdings glaube ich auch nicht, das die anderen Parteien da freizügiger sind.

so short

Christoph Zurnieden