Sicherheit von Datenbanken (Seite 3)

Grundüberlegungen:

Der zu prüfende sollte hier nicht öffentlich schreiben, dass er überprüft werden möchte. Es könnte den Verdacht von Unsicherheit bei anderen Usern/Klienten/Kunden hervorrufen.

Die Testmethoden sollen ebenso nicht öffentlich sein. So sollen S-Kiddies nicht mit Wissen angereichert werden und "Der und der testet so, das hat nicht geklappt, also probieren wir nicht angewandten Methoden weil diese Erfolglos waren", weil menschliche Schwäche ausnutzen
Wir testeten gestern Nacht eigene Server. Da war die erste Idee des Angreifers "Wie tickt der Webmaster, welche Strategie wende ich an" .

Rechtsfragen(vielleicht gibt ein Rechts-Gewandter ein Statement ab).
Darf man sein Webspacepaket testen lassen? (nur das Paket nicht den Server).

FTP
PHP
Mysql
ggf Mail
CMS-Typische Schwächen
...
Sinnvoll wäre ein gekapseltes Bord.

Weitere Vorschläge/Ideen?

Generell gilt, dass ein Angriff auf ein anderes fremdes System, als Staftat zu ahnden ist. Doch wo kein Kläger, da gibt es auch kein Richter. Dennoch würde ich mich bei einigen Leuten gern absichern und einen Auftrag zur Analyse für Sicherheit haben wollen. Wir hatten mal den Fall, dass nach einer mündlichen Absprache der Auftraggeber ein wenig hohl drehte. Von daher rate ich jedem zu solch einer Absicherung.

Die Angriffe auf eigene Systeme und die Verwendung von Hacktools zur eigenen Analyse sind hingegen straffrei.

Die Idee finde ich sehr gut.