Re: [Debian]: Apache und Sicherheit
Hallo,
Frank Rosendahl wrote:
> Grundsätzlich ist es ja möglich, Bereiche des Servers mit einem
> Usernamen und einem Passwort vor unbefugtem Zugriff zu
> schützen. Allerdings wird in diesem Falle meineswissens das Passwort
> im Klartext übertragen. Also, eine Sicherheitslücke.
>
> 1. Wie könnte ein potentieller Angreifer an dieses Passwort
> herankommen ?
Er kann irgendwo auf der Strecke zwischen dem Client und dem
Server sniffen und damit das Passwort mitlesen. Dazu braucht
er nur an einem Knoten in den betroffenen Netzen root-Rechte
(Windows-Nutzer sind immer root).
> 2. Wie sehe ich als Administrator, ob ein solcher Angriff
> stattgefunden hat ?
gar nicht.
> 3. Welche Möglichkeit besteht, solche Angriffe per Firewall
> auszuschalten ?
gar nicht.
> 4. Wenn ich den Server auf SSL-Basis aufbaue, wird dann dieses
> Passwort auch verschlüsselt, oder immernoch im Klartext
> übertragen ?
ist mit im SSL-Strom, also verschluesselt und somit nicht trivial
mitlesbar.
> 5. Etwas neben dem Grundthema: Es ist möglich einen Apache-Server mit
> Frontpage-Extensions bzw. Active Server Pages aufzubauen.
Soweit ich weiss nicht. ASP sind ohnehin Teufelszeug, da sie nicht
cachebar sind und somit die Gesamtnetzlast sinnlos erhoehen.
> 6. Wie sieht es bei den alternativen Webservern aus ? Gibt es da
> bessere Sicherheitsmethoden ?
SSL ist m.E. nach sicher genug und das kann Apache. Wenn Du nach
anderen Loesungen fragst, muesstest Du schon angeben, welche
Sicherheitsloecher Du noch meinst.
Viele Gruesse
Volker
---------------------------------------------------------------------
Volker Ossenkopf KOSMA (Kölner Observatorium für submm-Astronomie)
Tel.: 0221 4703485 1. Physikalisches Institut der
Fax.: 0221 4705162 Universität zu Köln
E-Mail: ossk@zeus.ph1.uni-koeln.de
---------------------------------------------------------------------
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 735
Reply to: