[Debian]: Re: Apache und Sicherheit

To: Debian Userslist German <debian-user-de@jfl.de>
Subject: [Debian]: Re: Apache und Sicherheit
From: Martin Bialasinski <martin@internet-treff.uni-koeln.de>
Date: 11 May 1999 15:48:33 +0200
Message-id: <[🔎] 87vhdzd8em.fsf@haitech.martin.home>
In-reply-to: Frank Rosendahl's message of "11 May 1999 13:08:27 +0200"
References: <[🔎] 87n1zbeudw.fsf@fwr.intern.lin4net.de>

>> "FR" == Frank Rosendahl <f.rosendahl@lin4net.de> writes:

FR> 1. Wie könnte ein potentieller Angreifer an dieses Passwort
FR> herankommen ?

Er muß den Netzverkehr zwischen dem User und dem Server abfangen.

FR> 2. Wie sehe ich als Administrator, ob ein solcher Angriff
FR> stattgefunden hat ?

Garnicht. Etwas anders ist brute-force raten von Paßworten, da dies
jedesmal einen Eintrag ins Log bringt.

FR> 3. Welche Möglichkeit besteht, solche Angriffe per Firewall
FR> auszuschalten ?

Garkeine. Das Problem besteht auf Protokollbasis (in diesem Fall
HTTP). Genauso ist es bei NNTP, POP3, FTP.

FR> 4. Wenn ich den Server auf SSL-Basis aufbaue, wird dann dieses
FR> Passwort auch verschlüsselt, oder immernoch im Klartext übertragen
FR> ?

Nein.  Zunächst bauen die beiden eine verschlüsselte Verbindung auf
(wobei das Patchen des Browsers auf 128 Bit anzuraten ist). Über diese 
Verbindung wird das Paßwort im Klartext übertragen, wie immer. Aber
der Angreifer müßte den SSL Datendtrom dechiffrieren, um daran zu
kommen. 

FR> 5. Etwas neben dem Grundthema: Es ist möglich einen Apache-Server
FR> mit Frontpage-Extensions bzw. Active Server Pages aufzubauen. Wenn
FR> ich einen solchen Server mit SSL erweitere, werden dann auch die
FR> Daten zu den FP/ASP-Dateien hin- und zurück verschlüsselt ?

Ich habe keinen Apache, und FP ist Teufelszeug und eine
scheunentorgroße Sicherheitslücke. Schau mal in Bugtraq, da müßte
genug zu dem Thema stehen. ASPs kannst du glaube ich nur mit dem IIS
benutzen.

FR> 6. Wie sieht es bei den alternativen Webservern aus ? Gibt es da
FR> bessere Sicherheitsmethoden ?

Eine Sicherungsmethode muß vom Server _und_ vom Client verstanden
werden. Und die Clients können nur SSL.

Ansonsten solltest du mal einen tiefen Blick in
http://www.w3.org/Security/Faq/www-security-faq.html werfen.

Ciao,
	Martin
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     735

Reply to:

Follow-Ups:
- Re: [Debian]: Apache und Sicherheit
  - From: Rainer Nagel <nagel@rz.uni-duesseldorf.de>

References:
- [Debian]: Apache und Sicherheit
  - From: Frank Rosendahl <f.rosendahl@lin4net.de>

Prev by Date: [Debian]: Kernel Probleme
Next by Date: Re: [Debian]: Sicherheit im Internet
Previous by thread: [Debian]: Apache und Sicherheit
Next by thread: Re: [Debian]: Apache und Sicherheit
Index(es):
- Date
- Thread