Re: [Debian]: Apache und Sicherheit

To: Frank Rosendahl <f.rosendahl@lin4net.de>
Cc: debian-user-de@jfl.de, ossk@zeus.ph1.uni-koeln.de
Subject: Re: [Debian]: Apache und Sicherheit
From: Volker Ossenkopf <ossk@zeus.ph1.uni-koeln.de>
Date: Tue, 11 May 1999 18:18:02 +0200
Message-id: <[🔎] 3738583A.BFDA1560@zeus.ph1.uni-koeln.de>
References: <[🔎] 87n1zbeudw.fsf@fwr.intern.lin4net.de>

Hallo,

Frank Rosendahl wrote:
> Grundsätzlich ist es ja möglich, Bereiche des Servers mit einem
> Usernamen und einem Passwort vor unbefugtem Zugriff zu
> schützen. Allerdings wird in diesem Falle meineswissens das Passwort
> im Klartext übertragen. Also, eine Sicherheitslücke.
>
> 1. Wie könnte ein potentieller Angreifer an dieses Passwort
>    herankommen ?

Er kann irgendwo auf der Strecke zwischen dem Client und dem
Server sniffen und damit das Passwort mitlesen. Dazu braucht
er nur an einem Knoten in den betroffenen Netzen root-Rechte
(Windows-Nutzer sind immer root).

> 2. Wie sehe ich als Administrator, ob ein solcher Angriff
>    stattgefunden hat ?

gar nicht.

> 3. Welche Möglichkeit besteht, solche Angriffe per Firewall
>    auszuschalten ?

gar nicht.

> 4. Wenn ich den Server auf SSL-Basis aufbaue, wird dann dieses
>    Passwort auch verschlüsselt, oder immernoch im Klartext
>    übertragen ?

ist mit im SSL-Strom, also verschluesselt und somit nicht trivial
mitlesbar.

> 5. Etwas neben dem Grundthema: Es ist möglich einen Apache-Server mit
>    Frontpage-Extensions bzw. Active Server Pages aufzubauen. 

Soweit ich weiss nicht. ASP sind ohnehin Teufelszeug, da sie nicht
cachebar sind und somit die Gesamtnetzlast sinnlos erhoehen.

> 6. Wie sieht es bei den alternativen Webservern aus ? Gibt es da
>    bessere Sicherheitsmethoden ?

SSL ist m.E. nach sicher genug und das kann Apache. Wenn Du nach
anderen Loesungen fragst, muesstest Du schon angeben, welche
Sicherheitsloecher Du noch meinst.

Viele Gruesse
		Volker

---------------------------------------------------------------------
Volker Ossenkopf    KOSMA (Kölner Observatorium für submm-Astronomie)
Tel.: 0221 4703485                    1. Physikalisches Institut der
Fax.: 0221 4705162                               Universität zu Köln
E-Mail: ossk@zeus.ph1.uni-koeln.de
---------------------------------------------------------------------
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     735

Reply to:

Follow-Ups:
- Re: [Debian]: Apache und Sicherheit
  - From: tark <tark@gmx.net>
- Re: [Debian]: Apache und Sicherheit
  - From: Frank Rosendahl <f.rosendahl@lin4net.de>

References:
- [Debian]: Apache und Sicherheit
  - From: Frank Rosendahl <f.rosendahl@lin4net.de>

Prev by Date: Re: [Debian]: Verbindung ins Internet mit normalem Benutzer
Next by Date: Re: [Debian]: Probleme mit KDE1.1.1
Previous by thread: Re: [Debian]: Apache und Sicherheit
Next by thread: Re: [Debian]: Apache und Sicherheit
Index(es):
- Date
- Thread