Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

könntet ihr mal bitte die IHK-tauglichkeit meines Antrags überprüfen? :bimei

Dankeschön & Gruß!

Karl

Projektbezeichnung (Auftrag/Teilauftrag)

Entwicklung einer Anwendung zur Verwaltung und Erstellung von Unterschriftenverzeichnissen

Kurze Projektbeschreibung

Für eine Bank soll ein Unterschriftenverzeichnis in einem druckbaren Format (PDF) erstellt werden. Zur einfacheren Handhabung der Daten/Unterschriften wird intern eine Anwendung benötigt, deren Kernfunktion aus dem Hinzufügen/Verwalten von Personen/Unterschriften, die Sortierung der Personen nach Abteilungen/Funktionen innerhalb der Bank sowie der vollautomatischen Ausgabe dieser Daten als Unterschriftenverzeichnis im PDF-Format besteht. Das PDF selbst soll zur Ansicht am PC über einen navigierbaren Index verfügen. Außerdem muss es vor unautorisierten Zugriffen geschützt werden (PDF-Kennwortschutz). Die Anwendung wird als Web-Applikation realisiert. Der Zugriff auf die Anwendung ist ähnlich wie beim zu erstellenden PDF nur authentifizierten Personen gestattet, um höchstmögliche Sicherheit der Daten zu garantieren. Optional soll die Anwendung um eine Art Template-System erweitert werden, mit dessen Hilfe man über eine Datenbasis/Anwendung Unterschriftenverzeichnisse für verschieden Kunden/Banken erstellen kann.

Projektumfeld

Die xyz GmbH ist ein Unternehmen der Druckvorstufe/Druckindustrie, die Abteilungsaufgabe ist Konzeption/Planung/Entwicklung datenbankgestützter Systeme zur Verwaltung von Druckdaten sowie die Automatisierung von Prozessen der Druckvorstufe.

Projektplanung mit Zeitplanung in Stunden

1. Analyse (6h)

- Ist-Analyse (2h)

- Soll-Konzept (4h)

2. Planung (6h)

- Arbeitspakete/Zeiteinteilung (2h)

- Pflichtenheft (4h)

3. Realisierung (40h)

- Planung und Anlage der internen Programmstruktur (6h)

- Erstellung der Benutzeroberfläche (10h)

- Entwicklung der Programmfunktionen (24)

4. Qualitätssicherung (7h)

- Testphase (4h)

- Anpassung (2h)

- Vergleich Soll- mit Ist-Zustand (1h)

5. Dokumentation/Handbuch (10h)

6. Übergabe (1h)

- Übergabe und Einweisung (1h)

Geschrieben

Hallo,

interessantes Projekt, aber die aller erste Frage ist bei mir: Was ist mit Datenschutz/-sicherheit?

Wie stellst Du die Kommunikation zwischen Frontend und Backend her, Ich erhalte ein PDF mit Kennwortschutz, aber das kann ich mit einer Menge Tools schnell ausbauen. Wie werden die Daten innerhalb der Datenbank gespeichert. Wenn ich mich direkt mit der Datenbank verbinde, komme ich dann an die Informationen usw.

Also ich würde da auf jeden Fall noch einen Punkt Datenschutz/-sicherheit einfügen, denn das ist sicherlich eine Frage die während der Arbeit oder im Gespräch gestellt wird

Phil

Geschrieben

Danke für deine Antwort!

Wie stellst Du die Kommunikation zwischen Frontend und Backend her.

Das Backend ist eine MySQL-Tabelle, das Frontend eine PHP-Applikation. Beide laufen auf einem Server. MySQL ist nur für "localhost" erreichbar. Die Tabellen nur für bestimmte MySQL-Benutzer (Applikation und Root).

Ich erhalte ein PDF mit Kennwortschutz, aber das kann ich mit einer Menge Tools schnell ausbauen.

Nö, nicht wenn das PDF ein User-Passwort hat - dann wird's IMHO knifflig ;)

Wie werden die Daten innerhalb der Datenbank gespeichert. Wenn ich mich direkt mit der Datenbank verbinde, komme ich dann an die Informationen usw.

Wie gesagt, die Datenbank ist nur für die Webapplikation erreichbar. Der Endanwender bekommt die in der Datenbank gespeicherten Daten erst gar nicht zu Gesicht bzw. nur das, was das Frontend ihm zeigt. Die Daten selbst werden nicht verschlüsselt oder ähnliches, sind aber ohne weiteres auch nicht einsehbar.

Also ich würde da auf jeden Fall noch einen Punkt Datenschutz/-sicherheit einfügen, denn das ist sicherlich eine Frage die während der Arbeit oder im Gespräch gestellt wird

Und wo genau bzw. wie soll der aussehen? Das Thema Datenschutz würde ich wenn überhaupt im Pflichtenheft ansprechen, denn die Bank hat uns ein paar Auflagen gegeben (verschlüsseltes PDF, sichere Datenhaltung der Personen/Unterschriften). Macht das im Projektantrag Sinn?

Geschrieben

Hallo,

Das Backend ist eine MySQL-Tabelle, das Frontend eine PHP-Applikation. Beide laufen auf einem Server. MySQL ist nur für "localhost" erreichbar. Die Tabellen nur für bestimmte MySQL-Benutzer (Applikation und Root).

Was ist mit Exploids, Root Kits, .....?

Nö, nicht wenn das PDF ein User-Passwort hat - dann wird's IMHO knifflig ;)

Sie den Link, 2ter Treffer bei Google

Passwort knacken - Cracker für Windows, Office & Co - Testticker.de

Wie gesagt, die Datenbank ist nur für die Webapplikation erreichbar. Der Endanwender bekommt die in der Datenbank gespeicherten Daten erst gar nicht zu Gesicht bzw. nur das, was das Frontend ihm zeigt. Die Daten selbst werden nicht verschlüsselt oder ähnliches, sind aber ohne weiteres auch nicht einsehbar.

Die Webapplikation ist nach dieser Aussage HTTP, mit einer Man-In-The-Middle Attacke fange ich das PDF mit und hacke das Passwort.

Analog, ich höre den Netzwerktraffic mit logge die Formdaten des Logins und habe somit Logininformationen, mit denen ich dann in das System komme. Fehlerhafter Programmierung eröffnen mir die Tür auf die Datenbank und somit der unverschlüsselten Daten.

Was ist generell mit Attacken aus dem Netzwerk? Portscan, Telnet, SMB Zugriffe......

Sind nur mal so generelle Gedanken, man kann nie 100% absichern, aber den Aufwand entsprechen hoch machen, so dass es sich nicht lohnt

P.S.: Die private Nachricht an mich, hat nicht den Sinn, dass Du eine Antwort schneller bekommst, nur weil Dir der Antrag wichtig ist. Lies bitte dazu einmal Wie man Fragen richtig stellt

Geschrieben

Ich verwende die Software selbst. Sie arbeitet über Bruteforce oder Dictionaries. Bei enstprechenden Passwörtern (Zahlen, Buchstaben, Sonderzeichen) hat sie beim User-Kennwort keine Chance. Owner-Kennwort dagegen kann man damit problemlos umgehen.

Die Webapplikation ist nach dieser Aussage HTTP, mit einer Man-In-The-Middle Attacke fange ich das PDF mit und hacke das Passwort.

Analog, ich höre den Netzwerktraffic mit logge die Formdaten des Logins und habe somit Logininformationen, mit denen ich dann in das System komme. Fehlerhafter Programmierung eröffnen mir die Tür auf die Datenbank und somit der unverschlüsselten Daten.

Hm, da hast du natürlich recht. Alternativ könnte man auch HTTPS anbieten. Das schließt Logging-Programme auf den Clients natürlich nicht aus. Da die Anwendung zunächst aber nur intern läuft, halte ich die Gefahr (und vor allem wegen des fehlenden Fachwissen der lieben Kollegen für solche Attacken) für eher unrealistisch.

Was ist generell mit Attacken aus dem Netzwerk? Portscan, Telnet, SMB Zugriffe......

Unser Webserver ist nur über Port 80 für normale HTTP-Anfragen erreichbar. Alle anderen Dienste, bis auf SSH (das per Private- Public-Key authentifiziert), dessen Port aber nicht der Standard-Port ist, sind nicht erreichbar. Unsere Server wurden ständig abgescannt und es gab auch schon Hackversuche. Seitdem ist bei uns alles dicht - und Ruhe.

Sind nur mal so generelle Gedanken, man kann nie 100% absichern, aber den Aufwand entsprechen hoch machen, so dass es sich nicht lohnt

Ja, die absolute Sicherheit gibt es nicht. Das sagen wir auch unseren Kunden/Kollegen so, wenn sie wieder ihre Passwörter an die Bildschirme kleben. Nur kann ich solche Fehler nicht vermeiden, genauso wenig wie interne Angriffe. Ich kann nur unseren recht sicheren Webserver anbieten, Passwortschutz sowie optional HTTPS (was der Kunde aber nicht fordert). IMHO ist es sicher genug - was ich mich aber Frage ist, was das Ganze dann mit meinem Projektantrag zu tun hat? Denn diese Frage hast du mir noch nicht beantwortet ;) Muss man das detailierter im Projektantrag beschreiben? Mit solchen Fragen würde ich eher im Fachgespräch rechnen *verwirrtbin*

P.S.: Die private Nachricht an mich, hat nicht den Sinn, dass Du eine Antwort schneller bekommst, nur weil Dir der Antrag wichtig ist. Lies bitte dazu einmal Wie man Fragen richtig stellt

Tut mir leid. Ich weiß, es ist nicht die feine englische Art - normalerweise mache ich das auch nicht. Aber da du die letzten beiden Tage hier im Forum aktiv warst und dennoch keine Antwort kam, dachte ich, meine Frage wäre untergegangen :hells:

  • 3 Wochen später...
Geschrieben

*hmpf*

14 Tage war genug Wartezeit, denke ich. Wie gesagt, habe ich immer noch die 2 Fragen:

- könnte es mit dem Antrag oben Probleme geben, wenn ja welche?

- sind die von Flashpixx genannten Dinge für den Antrag relevant?

Über Antworten würde ich mich freuen. In diesem Sinne:

*push*

:(

Geschrieben

Deine Zeitplanung gefällt mir nicht. Denn 40 Std. für die Realisierung sind schon arg viel. Was mir noch nicht so recht klar werden will ist. Du erstellst also auf dem Server eine pdf Datei die Funktionen um dies zu tun werden doch schon vorhanden sein was ist dann bitte deine Aufgabe in dem Projekt.

Für mich hört sich das wenn es mit einem vorhandenen Framework gemacht werden soll zu wenig an wenn du es alles selbst schreiben willst schlaffste es in den 70 Std. nicht mal die 1500 Seiten der pdf Spezifikation zu lesen.

Geschrieben

Der Antrag ist schon ein wenig dünn. Da ist nicht sehr viel, aber ich denke, dass der Antrag, mit ein wenig Glück, durchkommt.

Dein Post #6 ist sehr aufschlussreich, dass solltest Du unbedingt in die Doku mit Aufnehmen.

Die Anmerkungen von flashpixx sind korrekt, haben dem PA aber nicht zu interessieren. Ich kann keinen Antrag ablehnen, weil ICH der Meinung bin, das der Datenschutz bzw. die Datensicherheit nicht gewährleistet wird. Allenfalls im FG kann ich mich gemütlich darauf ausruhen und meine sagenhaft enormen Fähigkeiten und absurden Theorien dem Prüfling um die Ohren hauen und ihn gegebenfalls, mit ein wenig Egotrip, durchfallen lassen.

Geschrieben

Wirkt das für mich nur so, oder hast du einfach nur ein PHP Script das dir aus einer Datenbank Bilder zieht das ganze zu einer PDF panscht und mit Kennwort geschützt dem User zum Download anbietet?

Dafür willst du eine Woche REINE Realisierung verwenden?

Geschrieben

Hm, danke für eure Antworten.

Für mich hört sich das wenn es mit einem vorhandenen Framework gemacht werden soll zu wenig an wenn du es alles selbst schreiben willst schlaffste es in den 70 Std. nicht mal die 1500 Seiten der pdf Spezifikation zu lesen.

Es sind in der aktuellen Ausgabe ca. 1.300 Seiten und ja, manchmal lese ich auch da drin. Wenn man sich im Druckgewerbe nicht mit PDFs auseinandersetzt, hat man ein kleines Problem, denn Adobe gibt den Standard vor...

Du erstellst also auf dem Server eine pdf Datei die Funktionen um dies zu tun werden doch schon vorhanden sein was ist dann bitte deine Aufgabe in dem Projekt.

Der Antrag ist schon ein wenig dünn. Da ist nicht sehr viel, aber ich denke, dass der Antrag, mit ein wenig Glück, durchkommt.

Jo, das hat mir mein Klassenlehrer auch gesagt. Der sitzt im PA, würde meinen Antrag so aber durchgehen lassen. Denn es ist doch etwas mehr, als nur "einfach" eine PDF zu erstellen, wenn man etwas darüber nachdenkt. Ich muss zunächst eine Datenbank mit halbwegs ausgefeilter Benutzerverwaltung und Frontend erstellen. Dann benötige ich etwas, womit ich die Unterschriften in die Datenbank einstellen kann, sprich einen Upload. Zur Verwaltung der Unterschriften brauch ich dann noch etwas, womit ich die Unterschriften bzw. die dazugehörigen Personen in Abteilungen (Kategorien) sortieren kann. Personen können in mehreren Abteilungen vorkommen ... und letztendlich erstelle ich die gesamte Logik, die das PDF erstellt. Das ist zum einem das Auflisten der Unterschriften nach Abteilungen, was noch relativ einfach ist. Aber der navigierbare Index wird etwas aufwendiger, zumal ich sowas noch nie gemacht habe. Im Index sollen alle Personen, die im Verzeichnis auftauchen, gelistet sein. Klickt man auf den Namen, springt man automatisch zur Unterschrift. Das Ganze wird ohne Frameworks oder sonstige externe Bibliotheken (von der PDFLib mal abgesehen) erstellt, um alles möglichst einfach und übersichtlich zu halten. Also IMHO ist das recht viel und ich weiß nicht, ob ich mit den 40 Stunden reine Realisierung auskommen werde. Bei uns intern rechnen wir mit ungefähr dem Doppelten. Die Datenbank soll ja nicht einfach nur zusammengeklatscht werden, sie soll schon etwas "bulletproof" und sicher sein, sodass sie auch für andere ähnliche Projekte verwendet werden kann. Oder sollte ich den Antrag etwas mehr ausschmücken, damit das ersichtlicher wird - was meint ihr?

Dein Post #6 ist sehr aufschlussreich, dass solltest Du unbedingt in die Doku mit Aufnehmen.

OK, werde ich machen.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...