Welcome Guest, you are in: <root> • Anmelden

Eintragshistorie: OSC Technische Dokumentation

Compare Page Revisions

54 53 52 51 50 49 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 Aktuell 54 53 52 51 50 49 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0

« Ältere Version - Zurück zu der Eintragshistorie - Neuere Version »

Eintragsversion: 22/12/2015 14:07

Technische Grundlage

• Als technische Grundlage für das OSC wird DotNetNuke verwendet.
• DotNetNuke (DNN) ist ein freies Web Application Framework auf Basis der Plattform ASP.NET und wird vom Internet Information Server im Windows Betriebssystem gehostet.
• Der Funktionsumfang des Systems wird durch Module realisiert, die gekapselte Applikationen darstellen. Auch unsere Anwendung wurde als Modul realisiert.
• Als DotNetNuke Version wird von uns die DNN 6.2.3 verwendet.
  
  
  Sicherheit
• Für das OSC sollte auf jeden Fall ein gültiges, offizielles SSL Zertifikat mit mindestens 2048-Bit Verschlüsselung verwendet werden.
• Auf dem IIS sollte im Bereich SSL-Einstellungen die Option "SSL erforderlich" gesetzt sein.
• Für die DNN-Benutzer HOST bzw. admin sollte auf jeden Fall ein sicheres Passwort verwendet werden welches aus Zahlen, Buchstaben und Sonderzeichen besteht.
• Verhindern von SQL Injection
  • SQL-Injections sind dann möglich, wenn Daten wie beispielsweise Benutzereingaben in den SQL-Interpreter gelangen. Denn Benutzereingaben können Zeichen enthalten, die für den SQL-Interpreter Sonderfunktion besitzen und so Einfluss von außen auf die ausgeführten Datenbankbefehle ermöglichen. Solche Metazeichen in SQL sind zum Beispiel der umgekehrte Schrägstrich (Backslash), das Anführungszeichen, der Apostroph und das Semikolon.
  • Der sicherste Weg um einen Zugriff zu verhindern ist es, die Daten überhaupt vom SQL-Interpreter fernzuhalten. Dabei kann man auf das Kappen der Eingabe verzichten. Die Technik dazu sind gebundene Parameter in Prepared Statements. Dabei werden die Daten als Parameter an einen bereits kompilierten Befehl übergeben. Die Daten werden somit nicht interpretiert und eine SQL-Injection verhindert. Als positiven Nebeneffekt bekommt man bei bestimmten Datenbanken (z. B. Oracle) außerdem eine Steigerung der Performance.
  • Das Hausverwaltungsmodul im DNN verwendet diese Methodik durchgehend und arbeitet nur mit gebundenen Parametern.
    
    
    Ordner Struktur
• IIS root Verzeichnis
  • WebPortal
    
    
    Web.Config
• Die Einstellungen für das System befinden sich in der Datei Web.Config die sich im root Verzeichnis des IIS Servers befindet. Dabei sind folgende Einstellungen für sie relevant.
  •