PHP-Dateien sicher vor Download?

BAGZZlash

BAGZZlash

Aktives Mitglied
Zum hier erwähnten Webdienst habe ich nun den PHP-Code fertig. Am Viewer bastelt der Kollege noch, und auch das mit dem Login-System geht voran. Nun habe ich eine noch etwas grundsätzlichere Frage, die mir recht peinlich ist: Kann ein Angreifer eigentlich die PHP-Dateien vom Server scrapen? Ich meine jetzt nicht einen bombensicheren Schutz vor Igor Superhacker, aber so allgemein:

Wir nehmen dann sicher irgendeinen Webhoster und laden unseren ganzen Krempel dort per FTP hoch. Angenommen, der FTP-Zugang selbst ist hinreichend geschützt, und ich spreche auch nicht davon, dass jemand dort physisch einbricht und die Festplatten rausschraubt. Kann man allgemein davon ausgehen, dass Scriptkiddies (verwendet man diesen Begriff heute noch?) nicht unseren heiligen Code in die Finger kriegen? Oder braucht's nur JDownloader oder CURL mit den richtigen Parametern, um sowas herunterzuladen?
 
Die können über normale Zugriffe nur geparst runtergeladen werden, also als statische HTML.

Bin mir nicht sicher, aber ich denke direkt runterladen könnte man sie nur, wenn PHP nicht mehr interpretiert wird. Diesen Fall kann man durch Umleitungsregeln abfangen (zB eine bestimmte URI einfach blocken). Die Regeln gelten, so lange der Webserver läuft. Und wenn der Webserver crasht, dann kann er auch keine Dateien mehr bereitstellen.

Du könntest die empfindlichen PHP-Dateien außerhalb des webroots speichern und in eine öffentliche index.php einbinden. Das sollte den Quellcode-Download erschweren, selbst wenn ihr etwas fehlkonfiguriert oder jemand einen Exploit bei einem eurer Formulare findet.
 
Vielen Dank.

Mat schrieb:
Du könntest die empfindlichen PHP-Dateien außerhalb des webroots speichern und in eine öffentliche index.php einbinden. Das sollte den Quellcode-Download erschweren, selbst wenn ihr etwas fehlkonfiguriert oder jemand einen Exploit bei einem eurer Formulare findet.
Zum Vergrößern anklicken....

Ja, das hatte ich sowieso schon so designed, nicht unbedingt aus Sicherheitsgründen, sondern einfach für die Übersichtlichkeit. Sind aber auch bloß fünf Dateien. :)
 
Zurück
Oben Unten