Zitat:
Zitat von dr.p.lankton
csrf ist nicht cross-site s*****ing vergleiche wikipedia xss und csrf |
Ja entschuldigung,
habe ich wohl verwechselt.
Somit hat er aber auch eine Beschreibung für XXS
Ach ja::
Zu den Sachen mit Sorgen machen::
3) Das nächste, was mich etwas irritiert:
- er wollte die Zugangsdaten zum Control Panel (also, dort wo ich z.B. Email Accounts erstellen kann, FTP Benutzer, etc.). Sein Grund: Er wollte den PHP Parameter deaktivieren, der Informationen anzeigt, wenn es Errors gibt.
Zitat:
|
a) Muss ich mir Sorgen machen, dass ich ihm die Daten gegeben habe?
|
= Deine Entscheidung! Somit kann er deinen Server einstellen wie er will und sich Hintereingäng usw. bauen.
Zitat:
|
b) Kann mir einer sagen, wo man so was deaktivieren/aktivieren kann.
|
= Normalerweise in den Apache-Module, diese haben aber je nach Anbieter einen anderen Namen (bei mir :: Server-Einstellungen)
Dann ich dir sagen kann, wo du es ganauer machen kannst, wär interessant, bei welchen Anbieter du bist und welchen PHP Parameter er genau deaktivieren/aktivieren möchte.
Zitat:
- er wollte auch Zugangsdaten von meiner Email Adresse. Der Grund:
I need it because the code needs to enter the email box to send the email of the contact form. (Deutsch: er braucht es, weil er was in der Kontakt.php was ändern wollte)
a) Muss ich mir auch hierbei Sorgen machen?
|
= Hier würde ich mir sorgen machen. Um das Senden einer Mail aus einem php-Dokument braucht er normalerweise keine Zugangsdaten zum E-Mailaccount.
Das einzigste, was vielleicht ein bisschen in Frage kommt ist, dass er die E-Mailadresse für den header braucht. Aber da muss er (normalerweise) auch nur die E-Mailadresse angeben, ohne Zugangsdaten.