► Mein Python-Buch amzn.to/3ARMbw8 (*) ► Ethical Hacking mit ChatGPT amzn.to/3Qf9mID (*) ► Hacking mit Python amzn.to/3pxVnmh (*) (*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.

Das wäre eine gute Video Serie: "Community Code Pentesting"

Bin erst fünf Minuten im Video aber jetzt schon begeistert Das mit 13.. da hab ich nur Drakensang Online gespielt haha

@ben690

13 күн бұрын

Jo Waldieos wusste gar nicht dass du auch Florian schaust :D Grüße Flaschenwächter

@hrizwaldieos8239

13 күн бұрын

@@ben690 ^^ Ich bin nicht Waldieos selbst, nur ein sehr guter Kollege von ihm. Hab mit ihm immer gesuchtet ^^

Ja, PHP mit Datenbanken gerade hinsichtlich Passwörtern wäre sehr toll! Und außerdem: Geiles Video! Solche Projektanalysen sind sehr hilfreich, weil man da nicht sein Wissen erste zusammenkratzen muss 👍

==='admin' not good ABER sehr geil wer auch immer das geschickt hat. Weiter so! Und schön auch mal direkte Interaktion mit der Community zu sehen. Könntest ja vllt ein Format draus machen.

Also ich finde das Thema super spannend und ich denke dass viele deiner Zuschauer ja auch gerade am Lernen sind wie man programmiert oder wie man die Sicherheit der Nutzer gewährleistet usw. Es wäre unfassbar interessant wenn Du vielleicht in einer Tutorial Reihe zeigen könntest wie man ein kleines Login mit HTML, Datenbank und PHP umsetzen würde so dass dieses so sicher ist wie möglich.

Cooles Video, durch solche Videos ist der Lern Effekt am größten bitte mehr davon! 🔥🔥🔥

Ich hatte mich in dem Alter so etwa um 14 rum mit C++ versucht anzufangen. Das hatte mich fragender, als sonst was zurückgelassen und dafür gesorgt, dass ich 4 Jahre später so richtig mit der Softwareentwicklung angefangen hatte und dann mit Java. Da aber auch ohne irgendjemanden, der irgendwas erklärt hatte. Bis ich an dem Punkt ankam, dass ich so richtig verstand, wie Konzepte funktionieren und wie man sinnvollen funktionierenden Code schreibt hatte es dann nochmal 6 Jahre gedauert, hatte sich aber auch gelohnt immer dran zu bleiben! Und seit dem sind wieder 3 Jahre vergangen und ich fühle mich sehr sicher in vielen Technologien, weil wenn man einmal die Grundlagen drauf hat, versteht man den Rest leichter, auch wenn es anfangs kompliziert aussehen mag.

Super Video! Gerne mehr von PHP/Security & Webentwicklung. 💪 e: Und super erklärt!

Kleine Ergänzungen: anstelle einer schnellen Hashfunktion (wie die der SHA-Familien) sollte eine langsame Passwort-Hashfunktion, wie Argon2, scrypt etc.) verwendet werden. Dann ist auch meistens das Salt problem gelöst.

@Florian.Dalwigk

13 күн бұрын

Das nennt man kryptographische Hashfunktion.

@tacticalbushcraftsurvival

10 күн бұрын

Für was das Salt wenn der hash Wert nicht zurück gerechnet werden kann?

@Florian.Dalwigk

10 күн бұрын

@tacticalbushcraftsurvival Damit das Passwort komplexer und die Wahrscheinlichkeit verringert wird, dass es in irgendeiner Liste auftaucht.

Ich hab mit 13 Jahren noch mit HTML in Baukastensystemen gespielt.

@Heartforai

13 күн бұрын

Ich hab mit 11 mit Scratch angefangen

Hab mal ne Frage weil du sagtest im php Script keine Passwörter. Wie macht man das dann mit dem Passwort zur Datenbank oder zum Mailserver? Die müssen ja in irgend einem php Script hardcoded drin stehen oder wie soll man das sonst machen?

@Florian.Dalwigk

10 күн бұрын

Das kann man über die Umgebungsvariablen lösen.

Hey Florian =) Ist es möglich, dass du ein Video über TCPView machst vllt. in Kombi mit Process Explorer und erklärst, wie man seltsame Remote Verbindungen erkennt und diese loswird? Um die Kirche auf die Sahnetorte zu packen kannst du ja zusätzlich analyze intezer hinzupacken :D Das wäre echt cool!

Hi, hab dein Python buch, richtig geil! 😃

@Florian.Dalwigk

12 күн бұрын

Vielen Dank, das freut mich wirklich sehr ☺️

@Florian.Dalwigk

12 күн бұрын

Wenn du es auf Amazon gekauft hast, würde ich mich sehr über eine Bewertung freuen. Aber nur, wenn du magst 😉

Sehr interessantes Video

❤ Bitte mehr davon

Wenn man schon das passwort hasht dann doch bitte auch den Nutzernamen zumindest in ner datei datenbank vllt. nicht unbedingt. Zudem wäre es auch nicht schlecht wenn statt im PHP fenster zu bleiben auf die HTML Seiten zurückgeleitet würde oder nicht? Also bei erfolg auf die Weiterleitung html andernfalls zurück auf die index.html dann könnte man womöglich sogar verhindern das der Angreifer überhaupt mitbekommt das es eine php datei gibt. Liese sich bestimmt auch in der HTML noch besser verschleiern. z.B. den befehl in binary oder so.

Sehr interessant 👍👍

Mich würde mal Interressieren wie du deine Code-Visualisierungen machst. Also nicht einfach VSCode sondern mit animationen etc.

Gutes Video!

@Florian.Dalwigk

13 күн бұрын

Danke dir :)

Challenge accepted

@Florian.Dalwigk

13 күн бұрын

;)

Hi Florian. Ich bitte dich darum, nein ich flehe dich an, uns ein PHP/ Webentwicklungs- Tutorial mit Datenbanken bereit zu stellen. 🙏 Danke vielmals für deine Mühen. Beste Grüße

sehr sehr cooles video, das ist echt interessant🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉

Denke "PHP mit Datenbank Tutorial" wäre schon sehr wichtig, damit es in Zukunft weniger SQL Injections zufinden gibt (:

@itsmeAliveHDOfficial

12 күн бұрын

Gibts doch heut zu Tage bei Leuten die länger als 5 min php programmieren eh nicht mehr

@Florian.Dalwigk

12 күн бұрын

@itsmeAliveHDOfficial Wenn du wüsstest

@itsmeAliveHDOfficial

12 күн бұрын

@@Florian.Dalwigk also wenn es auf Production Ebene noch SQL injections gibt, hat man meiner meinung nach ein sehr viel größeres Problem als die SQL Lücke, wenn der developer nicht mal ein pdo prepare einbaut, falls man noch in plain php größere Projekte baut 🤔

@Florian.Dalwigk

12 күн бұрын

@itsmeAliveHDOfficial wie gesagt, es gibt nichts, was es nicht gibt

@itsmeAliveHDOfficial

12 күн бұрын

@@Florian.Dalwigk ja stimmt schon, wsl bin ich das nicht gewohnt, weil ich aus der fintech komme, da ist Sicherheit das wichtigste 😅 Aber so ein Video über ein open Source Projekt oder bissl größeres Hobby Projekt würd mich mal interessieren, wie sehr man dort sicherheitslücken findet

Erinnert mich an meinen Anfang beim programmieren.... Hab auch mit 13 angefangen jetzt bin ich 14 und mach bei weiterem größere Projekte.... Aber ein guter Anfang weiter so.

Sollte man den Benutzernamen auch hashen?

@veud

13 күн бұрын

Nein, in der Regel nicht. Man möchte normalerweise den Nutzernamen anzeigen lasen in plain Text.

@TLOZ1986

13 күн бұрын

Eigentlich benutzt man nur Datenbanken..

@TLOZ1986

13 күн бұрын

Beides von Datenbanken aufrufen

@Johann.Liebert

13 күн бұрын

@@TLOZ1986 man lässt es aber in der Datenbank doch auch nicht unverschlüsselt oder?

@Olivier.Luethy

13 күн бұрын

Natürlich, denn sonst könnte der potentielle Angreifer versuchen, diese Person im Internet zu identifizieren. Das könnte nützlich sein, um das Passwort herauszufinden, oder eine Begrüßung per Email, Phishing oder was auch immer. Meistens benutzt man aber keinen Benutzernamen, sondern eine Email, die gehasht wird. Da man durch die Email, auch ganz einfach einen Benutzernamen im System erzeugen kann, was dann aber für diesen Fall wenig Sinn macht. Für maximale Sicherheit natürlich beides hashen.

Ich habe ein sehr interessantes Projekt für dich. Es ist auch in PHP, benutzt das MVC Pattern, nein das Passwort ist nicht in JavaScript hardcodiert sondern in einer Datenbank gehasht. Ich wüsste schon ein oder zwei Dinge, die man machen könnte, aber vielleicht möchtest du das zuerst machen.

@itsmeAliveHDOfficial

12 күн бұрын

Nach password_hash in die daten in die DB speichern Dann für login abrufen und dann checken: If(password_verify($pwd, $hashedPwd) { Login...}

Beim Überprüfen der Anmeldeinformationen häte ich zuerst den Fehlerfall behandelt.

Ich fände etwas PhP und Webentwicklung relativ spannend

Wie zu erwarten wieder ein schönes Video. So ein Webentwicklungs-Datenbank-Tutorial würde ich sehr begrüßen. Zu diesem Video habe ich allerdings noch eine Frage: Die Umlaute lassen sich ja über dieses ¨ dings korrekt anzeigen. Das kannte ich bisher so nur aus C bzw. Sprachen mit vergleichbarer Syntax. Ließe sich das bei HTML nicht über language = "de" (keine Ahnung, ob das notwendig wäre) und UTF-8 als Unicode realisieren (meine HTML-Kenntnisse liegen derzeit auf Eis, aber ich denke, du weißt, was ich meine)? Ich kann mich zumindest nicht daran erinnern, die im Video verwendete Codierung in HTML jemals verwendet zu haben. Da habe ich mehr mit dem gearbeitet.

@Florian.Dalwigk

12 күн бұрын

Genau, das geht auch über die Codierung, allerdings würde das in der Vorlage nicht genutzt und ich wollte es möglichst einfach halten.

Ratelimiter fehlt noch 😂

@Florian.Dalwigk

12 күн бұрын

AI zum Erkennen von Bedrohungen auch ;)

@JakobRossner-qj1wo

12 күн бұрын

@@Florian.Dalwigk Wird sowas wirklich schon irgendwo benutzt in der Webentwicklung?

Wenn man Zugriff zum php File hat mit dem Hash werde ich nicht den Wert hinterm Hash rausfinden sondern den Code anpassen das ich eh reinkomme.

@Florian.Dalwigk

12 күн бұрын

Bzw. eine Hintertür einbauen

@felixstuber8046

12 күн бұрын

Wenn du nur lesenden Zugriff hast, könnte sich das als schwierig herausstellen. Du weißt ja nicht, warum du genau Zugriff auf das php-file hast. Vielleicht liegt der Quellcode in irgendeinem git-Repository und du konntest ihn deswegen lesen, aber da du nicht der Besitzer des Repos bist, kannst du ihn nicht verändern und selbst wenn du das könntest, heißt das ja noch lange nicht, dass sich deine Änderungen dann auch zeitnah irgendwo in Production wiederfinden.

@Meddten

12 күн бұрын

@@felixstuber8046 Das ist klar. Habe mich auf das Video bezogen und da wurde von Schreibtzugriff geredet. Aber wenn nur lesend hast du natuerlich recht.

Könntest du bitt ein möglichst ungeschnittenes Video machen, in dem du einem LLM die Aufgabe gibst ein einfaches, aber nicht zu triviales, Programm zu schreiben. Du selbst fasst sein Programm nie an, du sagst ihm lediglich was nicht passt. Selbstverständlich bist du ganz paranoid und möchtest dem User die Inspektion des Codes verunmöglichen. Fehlerhafte Eingaben dürfen nicht möglich sein.

@Florian.Dalwigk

10 күн бұрын

Da reicht ein gut entwickelter Prompt.

@Hofer2304

10 күн бұрын

@@Florian.Dalwigk Ich habe es über DuckDuckGo probiert. Mit Mixtral hat es nicht gut funktioniert. So wollte ich ein if-elif-else-Statement in zwei if-Anweisungen und den restlichen Anweisungen verwandeln. Das funktionierte nicht. Bei einer for-range-Anweisung wollte ich eine Version ohne range haben. Es hieß dann zwar dass es mir eine Version ohne range geben würde, doch der Code hab sich nicht geändert. Auf die Frage was chmod a=g file macht, hat es falsch geantwortet. Je besser man einen Prompt schreibt umso bessere Ergebnisse wird man erzielen. Aber weiß man immer genau was man will?

@Florian.Dalwigk

10 күн бұрын

@Hofer2304 Sollte man, weil eine KI einem nicht das Denken abnehmen, sondern als Werkzeug fungieren sollte.

@Hofer2304

10 күн бұрын

@@Florian.Dalwigk Gib der KI folgenden Prompt: Schreibe ein Pytonprogramm, das die Länge und Breite eines Rechtsecks vom Benutzer abfragt. Ungültige Eingaben dürfen nicht möglich sein. Gib dann den Umfang und die Fläche des Rechtecks aus. Wahrscheinlich wird der Code zwei try-except-Statements enthalten, was aber nicht den Anforderungen entspricht.

@Florian.Dalwigk

10 күн бұрын

@Hofer2304 kommt aufs Modell an

🔥🔥

Wieder was neues gelernt 👍

ich mag deine Videos bin selber erst 12

@Florian.Dalwigk

12 күн бұрын

Das freut mich :) Ich wünsche dir weiterhin viel Spaß beim Programmieren!

@mvnter

12 күн бұрын

@@Florian.Dalwigk danke

Anmerkung: Kritische Logik i. JavaScript ist nicht per se falsch, sondern nur auf dem Client. Mit NodeJS gibt es ein ganzes Ökosystem an Server-side rendered JavaScript. Teilweise sogar hybrid, da muss man noch vorsichtiger sein. Grundsätzlich muss als Entwickler immer sehr gründlich geprüft werden, dass sensible Logik nicht ins Frontend gelangt. Es gibt auch Libraries wo Nicht-JavaScript im Frontend landet. Mit WebAssembly sogar sehr viele Sprachen. Aber im Zweifelsfall hat man ja Pen-Tester dafür 😂

Vielleicht hättest du auch noch über Timing attacks sprechen können

@Florian.Dalwigk

9 күн бұрын

Das wäre in meinen Augen an dieser Stelle zu viel des Guten gewesen.

Nach dem ü kommt normalerweise aber auch ein Semikolon (;).

@Florian.Dalwigk

13 күн бұрын

Das stimmt, ist mir im Nachhinein auch aufgefallen

Hab mit 11-12 mit Java und Python angefangen.... Empfehle ich niemandem (also Java so früh).

@Olivier.Luethy

13 күн бұрын

Also ist es empfehlenswert wenn es sich ausgezahlt hat, oder nicht?

@Florian.Dalwigk

13 күн бұрын

Wieso ist es mit 11-12 nicht zu empfehlen, Java und Python zu lernen?

@juniorwmg

13 күн бұрын

@@Florian.Dalwigk Nicht coden allgemein, sondern Java. War mir zu kompliziert damals. Python hat einen deutlich simpleren Einstieg erlaubt.

@juniorwmg

13 күн бұрын

@@Olivier.Luethy Schon, ja. Hatte mich etwas mies formuliert. Meinte Java so früh. Fand ich damals etwas sehr kompliziert, Python hat mir einen deutlich leichteren Einstieg erlaubt.

@LucTarqSuperbus

12 күн бұрын

Python soll ja gerade für Einsteiger gut geeignet sein. Auch, wenn ich damit nicht so wirklich etwas anfangen konnte und einfach random mit C++ gespielt habe. Im Informatik-Kurs haben wir aber tatsächlich nur mit Java gearbeitet, also auch Einsteiger. Wie gut das geeignet ist, kann ich schlecht beurteilen, allein weil die Rechner dort (wenn das überhaupt ein würdiger Begriff für den Elektroschrott dort ist) die meiste Unterrichtszeit mit hochfahren beschäftigt waren und IDEs teilweise im Installationsprozess gecrasht sind. Viel lief da also nicht. Privat habe ich auch nur mal was ausprobiert, aber sehr schnell aufgegeben.

Die Lösung ist sicherheitstechnisch aber auch nicht ideal. Wenn ein Angreifer an die PHP Datei kommt, kann er das Passwort relativ einfach durch eine Rainbow Table herausfinden. Eine bessere Lösung wäre daher, das Passwort zusammen mit einem zufälligen Salt zu hashen.

@Florian.Dalwigk

13 күн бұрын

Ich sage doch im Video, dass noch eine DB Anbindung fehlt. Und da ergibt es dann Sinn, mit solchen Techniken zu arbeiten. Wenn das Passwort hinreichend sicher ist, braucht man kein Salt.

@felixstuber8046

12 күн бұрын

@@Florian.Dalwigk "Wenn das Passwort hinreichend sicher ist, braucht man kein Salt." Seit wann gehen wir davon aus, dass Nutzer hinreichend sichere Passwörter verwenden? Die verwendeten Passwörter sind oftmals schwach und außerdem nutzen viele Benutzer ein und dasselbe Passwort für verschiedene Services. Deshalb sollten wir uns angewöhnen unsere Passwörter immer mit Pfeffer und Salz zu würzen, damit sich ein Datenleck in unserer Anwendung nicht auch noch negativ auf andere auswirkt. Und das sollte auch immer so weit wie möglich direkt mit implementiert (und wenn nicht möglich kommentiert) werden, auch wenn ich das System erst später an eine Datenbank anbinden will, denn sonst ist die Gefahr groß, dass derjenige, der es anbindet (muss ja nicht zwangsläufig ich selbst sein) es dann eben vergisst.

Habe mit 13 angefangen zu coden

XAMPP? Warum so kompliziert? Einfach PHP binary nutzen.

@Florian.Dalwigk

13 күн бұрын

Weil XAMPP für den Einstieg in meinen Augen didaktisch sehr gut ist.

Mit php kann man schnell coden lernen aber JS ist besser

@Olivier.Luethy

13 күн бұрын

Kommt darauf an, was du basteln möchtest. Sobald du ein Loginsystem hast, lohnt sich mit JavaScript höchstens die Front-End Validierung. Heisst, es überprüft ob du überhaupt etwas eingegeben hast oder nicht, evtl. auch ob deine Email gültig ist. Und wenn alles sauber ist, wird es an PHP oder Java gesendet, je nach dem wie du es machst.

@felixbemme7257

13 күн бұрын

Weiß ich nicht wo das herkommt. Die aktuellen PHP Versionen sind super. Laufen ja auch nicht ohne Grund so viele gigantische Projekte damit. Siehe zB Facebook, CHECK24 etc. Man muss sich einfach mal drauf einlassen und dann zB. mal ein paar Frameworks einbinden und dann kann man schon viel damit anfangen.

@TLOZ1986

13 күн бұрын

​@@Olivier.Luethyich hatte eine Online Bootcamp, außer JS haben wir alles gelernt aber ohne JS bringt sich auch nichts.

Für so ne primitve Aufgabe fast 27 Minuten? Bei deiner Community hätte man sich auch mehr einfallen lassen können.

@ThomasHD25

13 күн бұрын

wieso kann man deine Tutorials nicht sehen

@Florian.Dalwigk

13 күн бұрын

Beachte das Alter

@tigga2213

13 күн бұрын

Sehe ich ganz anders. Wer entsprechende Ahnung hat, wird sich das nicht anschauen und für die, die sich damit nicht so auskennen, ist es, wie immer bei seinen Videos, hervorragend erklärt und dadurch wirklich hilfreich :)

@TheLUCKYONETutorials

13 күн бұрын

@@Florian.Dalwigk Klar. Aber 27min... ^^

@root1991

13 күн бұрын

Und du bist derjenige mit dem Paint-Profilbild, Comic Sans... Du bist der Macher.

Gutes Video!

@juliank464

13 күн бұрын

Das Video ist seit 1 Minute online, es dauert 26 Minuten….. ja klar gutes Video 😂

@realmirow

13 күн бұрын

@@juliank464 Das soll der Witz sein xd