1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apache Server Status: Falsch…

Der Apachestatus ist doch überhaupt nicht das Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Der Apachestatus ist doch überhaupt nicht das Problem

    Autor: Husten 02.11.12 - 09:49

    Wenn in Urls Zugangsdaten im Klartext auftauchen oder Adminbereiche nicht Passwortgeschützt sind, DAS sind die Probleme. Aber das der Apache Urls auflistet die angezeigt werden, sollte einem total Wumpe sein.

    Speziell die Sicherheitsmassnahme "unsere Url des Adminbereiches kennt ja keiner" ist sowas von dämlich, der Admin gehört eh vermoppt ;)

  2. Re: Der Apachestatus ist doch überhaupt nicht das Problem

    Autor: fool 02.11.12 - 11:04

    So isses. Alles was in der URL auftaucht = unsicher. Mit oder ohne Status.

  3. Re: Der Apachestatus ist doch überhaupt nicht das Problem

    Autor: lumannnn 02.11.12 - 11:11

    Das stimmt. Nur wird (wenn ich das richtig verstanden habe), dass Ganze in dem Status persistiert. Was natürlich eine Angriffsmöglichkeit mehr bietet.

    Das solche Daten erst gar nicht in die URL gehören, darüber müssen wir uns glaub ich nicht weiter unterhalten. Das sollte jedem Entwickler mittlerweile einleuchten ^^

  4. Ähm... doch ein Problem...

    Autor: Wendel 02.11.12 - 12:31

    Leute, wenn ich doch diese und / oder ähnliche Informationen von einem Server sehe...

    Server Version: Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5
    Server Built: Oct 28 2009 14:31:53

    Mit solchen Infos lässt sich doch viel anstellen, wenn man denn will. Infos zu Schwachstellen, auf die Version einer Komponente bezogen, findet man ja problemlos...

    Naja, vielleicht bin ich auch ein "Security-Paranoider", was ich dann wohl auf meinen Job schieben darf...

  5. Re: Ähm... doch ein Problem...

    Autor: __destruct() 02.11.12 - 13:16

    Wie wäre es damit, einfach selbst im Internet nach Schwachstellen zu suchen und dann, wenn man welche findet, das System zu wechseln? Das grenzt ja schon in das Konzept von Sicherheit durch Geheimhaltung.

  6. Re: Ähm... doch ein Problem...

    Autor: ww 02.11.12 - 13:42

    Wendel schrieb:
    --------------------------------------------------------------------------------
    > Leute, wenn ich doch diese und / oder ähnliche Informationen von einem
    > Server sehe...

    Nee, doch kein Problem.

    mod_status gibts seit über 10 Jahren. Wenn man einen Webserver betreibt, sollte man schon wissen, welche Funktionen er hat und welche man davon aktivieren möchte und welche nicht. Von Profis, die große Websites betreiben würde ich erwarten die Liste der enabled Mods durchzusehen, die Mods zu kennen und nur benötigte zu aktivieren.

    Auf jeder 3. Kiste läuft auch mod-cgi, obwohl es kaum jemand braucht.

    Das Problem sind die Admins, nicht der Apache.



    2 mal bearbeitet, zuletzt am 02.11.12 13:44 durch ww.

  7. Re: Ähm... doch ein Problem...

    Autor: Schattenwerk 02.11.12 - 13:49

    Wendel schrieb:
    --------------------------------------------------------------------------------
    > Leute, wenn ich doch diese und / oder ähnliche Informationen von einem
    > Server sehe...
    >
    > Server Version: Apache/2.2.14 (Unix) mod_ssl/2.2.14
    > OpenSSL/0.9.8e-fips-rhel5
    > Server Built: Oct 28 2009 14:31:53
    >
    > Mit solchen Infos lässt sich doch viel anstellen, wenn man denn will. Infos
    > zu Schwachstellen, auf die Version einer Komponente bezogen, findet man ja
    > problemlos...

    Dafür benötige ich jedoch kein Server-Status. Ich kann einfach bewusst mit die geschickten Header anschauen und das System über Eingaben und bewusste Fehlverhalten identifizieren.

    Fängt schon damit an, dass IIS und Apache unterschiedliche Header-Reihenfolgen schicken. Unterschiedliche Sprachen ebenfalls, dann schaue ich mir noch die laufende Application an und habe schon ähnlich viele Informationen.

    Es erfordert natürlich etwas mehr Mühe und mehr Wissen, jedoch schützt mich das nun nicht, wenn ich sowas abstelle oder ServerStatus offentlich zugängliche habe.

    Das man die Status-Anzeige natürlich öffentlich zugänglich macht, ist natürlich Dummheit der jeweiligen Administratoren.

  8. Re: Ähm... doch ein Problem...

    Autor: Korashen 05.11.12 - 10:44

    Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die Sicherheits-Architektur.
    Ich meine, wenn apache.org selbst die Statusseite nicht blocket und die doch genau wissen, wie man einen apache sauber und sicher konfiguriert (zumindest sollten sie es wissen), dann kann es ja generell nicht so schlimm sein.

    Allerdings finde ich persönlich, wenn man die Seite einfach und schnell blocken kann, wieso dann nicht? Ob die Infos dort wichtig sind oder nicht, seis drum, es gibt keinen Grund, dem ganzen Internet Zugriff darauf zu gewähren. Warum dann also?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Interhyp Gruppe, München
  2. OMIRA GmbH, Ravensburg
  3. CompuGroup Medical SE & Co. KGaA, Oberessendorf
  4. DRÄXLMAIER Group, Vilsbiburg bei Landshut

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.749€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
    Energiewende
    Wie die Begrünung der Stahlindustrie scheiterte

    Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
    Eine Recherche von Hanno Böck

    1. Wetter Warum die Klimakrise so deprimierend ist