Karl Nickel Geschrieben 7. Februar 2008 Teilen Geschrieben 7. Februar 2008 Hallo zusammen, könntet ihr mal bitte die IHK-tauglichkeit meines Antrags überprüfen? :bimei Dankeschön & Gruß! Karl Projektbezeichnung (Auftrag/Teilauftrag) Entwicklung einer Anwendung zur Verwaltung und Erstellung von Unterschriftenverzeichnissen Kurze Projektbeschreibung Für eine Bank soll ein Unterschriftenverzeichnis in einem druckbaren Format (PDF) erstellt werden. Zur einfacheren Handhabung der Daten/Unterschriften wird intern eine Anwendung benötigt, deren Kernfunktion aus dem Hinzufügen/Verwalten von Personen/Unterschriften, die Sortierung der Personen nach Abteilungen/Funktionen innerhalb der Bank sowie der vollautomatischen Ausgabe dieser Daten als Unterschriftenverzeichnis im PDF-Format besteht. Das PDF selbst soll zur Ansicht am PC über einen navigierbaren Index verfügen. Außerdem muss es vor unautorisierten Zugriffen geschützt werden (PDF-Kennwortschutz). Die Anwendung wird als Web-Applikation realisiert. Der Zugriff auf die Anwendung ist ähnlich wie beim zu erstellenden PDF nur authentifizierten Personen gestattet, um höchstmögliche Sicherheit der Daten zu garantieren. Optional soll die Anwendung um eine Art Template-System erweitert werden, mit dessen Hilfe man über eine Datenbasis/Anwendung Unterschriftenverzeichnisse für verschieden Kunden/Banken erstellen kann. Projektumfeld Die xyz GmbH ist ein Unternehmen der Druckvorstufe/Druckindustrie, die Abteilungsaufgabe ist Konzeption/Planung/Entwicklung datenbankgestützter Systeme zur Verwaltung von Druckdaten sowie die Automatisierung von Prozessen der Druckvorstufe. Projektplanung mit Zeitplanung in Stunden 1. Analyse (6h) - Ist-Analyse (2h) - Soll-Konzept (4h) 2. Planung (6h) - Arbeitspakete/Zeiteinteilung (2h) - Pflichtenheft (4h) 3. Realisierung (40h) - Planung und Anlage der internen Programmstruktur (6h) - Erstellung der Benutzeroberfläche (10h) - Entwicklung der Programmfunktionen (24) 4. Qualitätssicherung (7h) - Testphase (4h) - Anpassung (2h) - Vergleich Soll- mit Ist-Zustand (1h) 5. Dokumentation/Handbuch (10h) 6. Übergabe (1h) - Übergabe und Einweisung (1h) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 7. Februar 2008 Teilen Geschrieben 7. Februar 2008 Hallo, interessantes Projekt, aber die aller erste Frage ist bei mir: Was ist mit Datenschutz/-sicherheit? Wie stellst Du die Kommunikation zwischen Frontend und Backend her, Ich erhalte ein PDF mit Kennwortschutz, aber das kann ich mit einer Menge Tools schnell ausbauen. Wie werden die Daten innerhalb der Datenbank gespeichert. Wenn ich mich direkt mit der Datenbank verbinde, komme ich dann an die Informationen usw. Also ich würde da auf jeden Fall noch einen Punkt Datenschutz/-sicherheit einfügen, denn das ist sicherlich eine Frage die während der Arbeit oder im Gespräch gestellt wird Phil Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Karl Nickel Geschrieben 7. Februar 2008 Autor Teilen Geschrieben 7. Februar 2008 Danke für deine Antwort! Wie stellst Du die Kommunikation zwischen Frontend und Backend her. Das Backend ist eine MySQL-Tabelle, das Frontend eine PHP-Applikation. Beide laufen auf einem Server. MySQL ist nur für "localhost" erreichbar. Die Tabellen nur für bestimmte MySQL-Benutzer (Applikation und Root). Ich erhalte ein PDF mit Kennwortschutz, aber das kann ich mit einer Menge Tools schnell ausbauen. Nö, nicht wenn das PDF ein User-Passwort hat - dann wird's IMHO knifflig Wie werden die Daten innerhalb der Datenbank gespeichert. Wenn ich mich direkt mit der Datenbank verbinde, komme ich dann an die Informationen usw. Wie gesagt, die Datenbank ist nur für die Webapplikation erreichbar. Der Endanwender bekommt die in der Datenbank gespeicherten Daten erst gar nicht zu Gesicht bzw. nur das, was das Frontend ihm zeigt. Die Daten selbst werden nicht verschlüsselt oder ähnliches, sind aber ohne weiteres auch nicht einsehbar. Also ich würde da auf jeden Fall noch einen Punkt Datenschutz/-sicherheit einfügen, denn das ist sicherlich eine Frage die während der Arbeit oder im Gespräch gestellt wird Und wo genau bzw. wie soll der aussehen? Das Thema Datenschutz würde ich wenn überhaupt im Pflichtenheft ansprechen, denn die Bank hat uns ein paar Auflagen gegeben (verschlüsseltes PDF, sichere Datenhaltung der Personen/Unterschriften). Macht das im Projektantrag Sinn? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Karl Nickel Geschrieben 8. Februar 2008 Autor Teilen Geschrieben 8. Februar 2008 Hat jemand eine Antwort zu meiner Frage (wegen dem Datenschutz)? Und würde die IHK den Antrag so akzeptieren? :hells: Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 10. Februar 2008 Teilen Geschrieben 10. Februar 2008 Hallo, Das Backend ist eine MySQL-Tabelle, das Frontend eine PHP-Applikation. Beide laufen auf einem Server. MySQL ist nur für "localhost" erreichbar. Die Tabellen nur für bestimmte MySQL-Benutzer (Applikation und Root). Was ist mit Exploids, Root Kits, .....? Nö, nicht wenn das PDF ein User-Passwort hat - dann wird's IMHO knifflig Sie den Link, 2ter Treffer bei Google Passwort knacken - Cracker für Windows, Office & Co - Testticker.de Wie gesagt, die Datenbank ist nur für die Webapplikation erreichbar. Der Endanwender bekommt die in der Datenbank gespeicherten Daten erst gar nicht zu Gesicht bzw. nur das, was das Frontend ihm zeigt. Die Daten selbst werden nicht verschlüsselt oder ähnliches, sind aber ohne weiteres auch nicht einsehbar. Die Webapplikation ist nach dieser Aussage HTTP, mit einer Man-In-The-Middle Attacke fange ich das PDF mit und hacke das Passwort. Analog, ich höre den Netzwerktraffic mit logge die Formdaten des Logins und habe somit Logininformationen, mit denen ich dann in das System komme. Fehlerhafter Programmierung eröffnen mir die Tür auf die Datenbank und somit der unverschlüsselten Daten. Was ist generell mit Attacken aus dem Netzwerk? Portscan, Telnet, SMB Zugriffe...... Sind nur mal so generelle Gedanken, man kann nie 100% absichern, aber den Aufwand entsprechen hoch machen, so dass es sich nicht lohnt P.S.: Die private Nachricht an mich, hat nicht den Sinn, dass Du eine Antwort schneller bekommst, nur weil Dir der Antrag wichtig ist. Lies bitte dazu einmal Wie man Fragen richtig stellt Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Karl Nickel Geschrieben 10. Februar 2008 Autor Teilen Geschrieben 10. Februar 2008 Sie den Link, 2ter Treffer bei Google Passwort knacken - Cracker für Windows, Office & Co - Testticker.de Ich verwende die Software selbst. Sie arbeitet über Bruteforce oder Dictionaries. Bei enstprechenden Passwörtern (Zahlen, Buchstaben, Sonderzeichen) hat sie beim User-Kennwort keine Chance. Owner-Kennwort dagegen kann man damit problemlos umgehen. Die Webapplikation ist nach dieser Aussage HTTP, mit einer Man-In-The-Middle Attacke fange ich das PDF mit und hacke das Passwort. Analog, ich höre den Netzwerktraffic mit logge die Formdaten des Logins und habe somit Logininformationen, mit denen ich dann in das System komme. Fehlerhafter Programmierung eröffnen mir die Tür auf die Datenbank und somit der unverschlüsselten Daten. Hm, da hast du natürlich recht. Alternativ könnte man auch HTTPS anbieten. Das schließt Logging-Programme auf den Clients natürlich nicht aus. Da die Anwendung zunächst aber nur intern läuft, halte ich die Gefahr (und vor allem wegen des fehlenden Fachwissen der lieben Kollegen für solche Attacken) für eher unrealistisch. Was ist generell mit Attacken aus dem Netzwerk? Portscan, Telnet, SMB Zugriffe...... Unser Webserver ist nur über Port 80 für normale HTTP-Anfragen erreichbar. Alle anderen Dienste, bis auf SSH (das per Private- Public-Key authentifiziert), dessen Port aber nicht der Standard-Port ist, sind nicht erreichbar. Unsere Server wurden ständig abgescannt und es gab auch schon Hackversuche. Seitdem ist bei uns alles dicht - und Ruhe. Sind nur mal so generelle Gedanken, man kann nie 100% absichern, aber den Aufwand entsprechen hoch machen, so dass es sich nicht lohnt Ja, die absolute Sicherheit gibt es nicht. Das sagen wir auch unseren Kunden/Kollegen so, wenn sie wieder ihre Passwörter an die Bildschirme kleben. Nur kann ich solche Fehler nicht vermeiden, genauso wenig wie interne Angriffe. Ich kann nur unseren recht sicheren Webserver anbieten, Passwortschutz sowie optional HTTPS (was der Kunde aber nicht fordert). IMHO ist es sicher genug - was ich mich aber Frage ist, was das Ganze dann mit meinem Projektantrag zu tun hat? Denn diese Frage hast du mir noch nicht beantwortet Muss man das detailierter im Projektantrag beschreiben? Mit solchen Fragen würde ich eher im Fachgespräch rechnen *verwirrtbin* P.S.: Die private Nachricht an mich, hat nicht den Sinn, dass Du eine Antwort schneller bekommst, nur weil Dir der Antrag wichtig ist. Lies bitte dazu einmal Wie man Fragen richtig stellt Tut mir leid. Ich weiß, es ist nicht die feine englische Art - normalerweise mache ich das auch nicht. Aber da du die letzten beiden Tage hier im Forum aktiv warst und dennoch keine Antwort kam, dachte ich, meine Frage wäre untergegangen :hells: Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Karl Nickel Geschrieben 27. Februar 2008 Autor Teilen Geschrieben 27. Februar 2008 *hmpf* 14 Tage war genug Wartezeit, denke ich. Wie gesagt, habe ich immer noch die 2 Fragen: - könnte es mit dem Antrag oben Probleme geben, wenn ja welche? - sind die von Flashpixx genannten Dinge für den Antrag relevant? Über Antworten würde ich mich freuen. In diesem Sinne: *push* Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Schiller256 Geschrieben 28. Februar 2008 Teilen Geschrieben 28. Februar 2008 Deine Zeitplanung gefällt mir nicht. Denn 40 Std. für die Realisierung sind schon arg viel. Was mir noch nicht so recht klar werden will ist. Du erstellst also auf dem Server eine pdf Datei die Funktionen um dies zu tun werden doch schon vorhanden sein was ist dann bitte deine Aufgabe in dem Projekt. Für mich hört sich das wenn es mit einem vorhandenen Framework gemacht werden soll zu wenig an wenn du es alles selbst schreiben willst schlaffste es in den 70 Std. nicht mal die 1500 Seiten der pdf Spezifikation zu lesen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Akku Geschrieben 28. Februar 2008 Teilen Geschrieben 28. Februar 2008 Der Antrag ist schon ein wenig dünn. Da ist nicht sehr viel, aber ich denke, dass der Antrag, mit ein wenig Glück, durchkommt. Dein Post #6 ist sehr aufschlussreich, dass solltest Du unbedingt in die Doku mit Aufnehmen. Die Anmerkungen von flashpixx sind korrekt, haben dem PA aber nicht zu interessieren. Ich kann keinen Antrag ablehnen, weil ICH der Meinung bin, das der Datenschutz bzw. die Datensicherheit nicht gewährleistet wird. Allenfalls im FG kann ich mich gemütlich darauf ausruhen und meine sagenhaft enormen Fähigkeiten und absurden Theorien dem Prüfling um die Ohren hauen und ihn gegebenfalls, mit ein wenig Egotrip, durchfallen lassen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Wodar Hospur Geschrieben 28. Februar 2008 Teilen Geschrieben 28. Februar 2008 Wirkt das für mich nur so, oder hast du einfach nur ein PHP Script das dir aus einer Datenbank Bilder zieht das ganze zu einer PDF panscht und mit Kennwort geschützt dem User zum Download anbietet? Dafür willst du eine Woche REINE Realisierung verwenden? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Karl Nickel Geschrieben 28. Februar 2008 Autor Teilen Geschrieben 28. Februar 2008 Hm, danke für eure Antworten. Für mich hört sich das wenn es mit einem vorhandenen Framework gemacht werden soll zu wenig an wenn du es alles selbst schreiben willst schlaffste es in den 70 Std. nicht mal die 1500 Seiten der pdf Spezifikation zu lesen. Es sind in der aktuellen Ausgabe ca. 1.300 Seiten und ja, manchmal lese ich auch da drin. Wenn man sich im Druckgewerbe nicht mit PDFs auseinandersetzt, hat man ein kleines Problem, denn Adobe gibt den Standard vor... Du erstellst also auf dem Server eine pdf Datei die Funktionen um dies zu tun werden doch schon vorhanden sein was ist dann bitte deine Aufgabe in dem Projekt. Der Antrag ist schon ein wenig dünn. Da ist nicht sehr viel, aber ich denke, dass der Antrag, mit ein wenig Glück, durchkommt. Jo, das hat mir mein Klassenlehrer auch gesagt. Der sitzt im PA, würde meinen Antrag so aber durchgehen lassen. Denn es ist doch etwas mehr, als nur "einfach" eine PDF zu erstellen, wenn man etwas darüber nachdenkt. Ich muss zunächst eine Datenbank mit halbwegs ausgefeilter Benutzerverwaltung und Frontend erstellen. Dann benötige ich etwas, womit ich die Unterschriften in die Datenbank einstellen kann, sprich einen Upload. Zur Verwaltung der Unterschriften brauch ich dann noch etwas, womit ich die Unterschriften bzw. die dazugehörigen Personen in Abteilungen (Kategorien) sortieren kann. Personen können in mehreren Abteilungen vorkommen ... und letztendlich erstelle ich die gesamte Logik, die das PDF erstellt. Das ist zum einem das Auflisten der Unterschriften nach Abteilungen, was noch relativ einfach ist. Aber der navigierbare Index wird etwas aufwendiger, zumal ich sowas noch nie gemacht habe. Im Index sollen alle Personen, die im Verzeichnis auftauchen, gelistet sein. Klickt man auf den Namen, springt man automatisch zur Unterschrift. Das Ganze wird ohne Frameworks oder sonstige externe Bibliotheken (von der PDFLib mal abgesehen) erstellt, um alles möglichst einfach und übersichtlich zu halten. Also IMHO ist das recht viel und ich weiß nicht, ob ich mit den 40 Stunden reine Realisierung auskommen werde. Bei uns intern rechnen wir mit ungefähr dem Doppelten. Die Datenbank soll ja nicht einfach nur zusammengeklatscht werden, sie soll schon etwas "bulletproof" und sicher sein, sodass sie auch für andere ähnliche Projekte verwendet werden kann. Oder sollte ich den Antrag etwas mehr ausschmücken, damit das ersichtlicher wird - was meint ihr? Dein Post #6 ist sehr aufschlussreich, dass solltest Du unbedingt in die Doku mit Aufnehmen. OK, werde ich machen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.