Die Spiegelung war ja nur ein Beispiel. Man könnte auch alle Zeichen um eins nach rechts verschieben und das letzte Zeichen nach vorne holen.

Genau das war die Verschleierungsmethode, die mir als zweites eingefallen ist. Hätte ich es besser mal geschrieben, dann hätte ich dir bewiesen, dass ich ein Hellseher bin. ;)

Nein, nein, das ist alles dermaßen trivial, dass jemand, der in deine Webanwendung eingebrochen ist, innerhalb von 20 Minuten deinen Verschleierungsalgorithmus knackt. Solche Techniken findet man in Lernprogrammen, die absolute Anfänger an das Thema Verschlüsselung heranführen sollen. Oder bei Hack-Wettbewerben, wo man Level für Level schwierigere Codes knacken muss. Das wäre dann Level 1.

Mathias

Die Spiegelung war ja nur ein Beispiel. Man könnte auch alle Zeichen um eins nach rechts verschieben und das letzte Zeichen nach vorne holen. Und genau hier fängt es an wo man Hellseherische Kräfte haben muss.

Die braucht man nicht, wenn man den Code rankommt :)

Außerdem denke ich kommt man nicht sooo leicht an Quellcode ran.

Ein tolles Argument, wenn du Open-Source-Software verwendest es reicht, einfach mal nachzufragen, wenn man den Quelltext haben will :)

An Datenbankeinträge schon eher.

Ich würde behaupten man kommt leichter an die Scripte als an einen vollständigen Datenbankdump - besonders unter dem Gesichtspunkt, dass viele Systeme einfach auf Open-Source-Software setzen, deren Quelltext öffentlich einsehbar ist.

Viele Programmieren für Ihre Mitarbeiter eine schöne XML Schnittstelle, welche die Daten in ein Excelschönes Format transformiert und schwups hat man einen Datenbankexport geöffnet.

Viele legen die Backups ihrer Datenbank in Form eines SQL-Dumps im DocumentRoot ab.

Wenn du solche Argumente ins Feld führst, kannst du gleich die Daten im Klartext speichern und auf der Startseite als Download verlinken ...

Moin Moin!

Außerdem denke ich kommt man nicht sooo leicht an Quellcode ran. An Datenbankeinträge schon eher.

Wie viel Cent möchtest Du darauf wetten?

gzip_cnc hatte mal einen wunderschönen Bug, der sämtliche Sicherungsmaßnahmen des Webservers umging und jede beliebige, für den Webserver-User lesbare Datei an jeden beliebigen Browser liefern konnte, inklusive gzip_cnc selbst, wenn auch GZIP-komprimiert. Daher der dekorative rote Balken am oberen Rand der Seite.

Übrigens können diverse Datenbanken auch Dateien aus dem lokalen Dateisystem einlesen und ihren Inhalt per SQL-Select abliefern. Eine SQL-Injektion-Lücke auf einem System, bei dem Webserver und Datenbank auf der selben (virtuellen oder realen) Maschine laufen, reicht dann unter Umständen aus, um alle Quelltexte *UND* die gesamte DB abzusammeln.

Ach ja, wenn ich mich recht erinnere, kann der MS SQL Server auch von sich aus Mails versenden, gesteuert komplett über SQL. Eine Lücke und Dein Server verschickt selbständig alle Quelltexte und Daten an eine Wegwerf-Mailadresse. Die Lücke muß also gar nicht so groß sein, dass die Daten in einem brauchbaren Format aus der Datenbank bis zum Browser weitergereicht werden, dank Mail-Funktionen geht's auch im Blindflug.

Und ich hab noch nicht einmal angefangen, über Sicherheitslücken im Betriebssystem, in Libraries, im Webserver und im Script-Interpreter nachzudenken.

Alexander