Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenbank: Lange bekannte MySQL-Lücke…

HTAccess läßt grüßen ...

  1. Thema

Neues Thema Ansicht wechseln


  1. HTAccess läßt grüßen ...

    Autor: derhutschi 27.01.19 - 17:20

    wenn man ein HTAccess vorschaltet (oder noch besser sowas nur per VPN erreichbar macht oder auch nur bei Bedarf aktiviert) besteht so ein Problem erst gar nicht

  2. Re: HTAccess läßt grüßen ...

    Autor: tomatentee 27.01.19 - 19:52

    Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die MySQL-CLI, usw) auch nicht.
    Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert sowas hier halt. Naja, mich betrifft es nicht...und solang sowas funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal so weiter machen...

  3. Re: HTAccess läßt grüßen ...

    Autor: LinuxMcBook 27.01.19 - 20:49

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > also kein php-crap

    Ist das ein PHP Framework o.ä.? Der Name sagt mir gar nichts.

  4. Re: HTAccess läßt grüßen ...

    Autor: Iruwen 27.01.19 - 22:30

    Sollte wohl ein PHP Bashing werden, ging aber wie üblich komplett am Thema vorbei.

  5. Re: HTAccess läßt grüßen ...

    Autor: chefin 28.01.19 - 07:49

    Stimmt, weil PHP nur der Weg ist, der Bug ist in mySQL und grundsätzlich über jeden Zugangsweg ausnutzbar. Auch über das Benutzerfrontend. Und das ist wohl kaum zu reglementieren.

    Und wie Unwissend die Kritiker weiter oben sind, erkennt man schon am VPN. Einfach nur ein BUZZ-Wort einwerfen um intelligent zu wirken. Aber nicht wissend was VPN eigentlich ist.

    Mit VPN wird lediglich ein verschlüsselter Zugang zu einem Netzwerk geöffnet. VPN selbst ist genauso von Bugs betroffen sie alles andere. Nur das ein geknackter VPN nicht nur den Zugang zu einem einzelsystem ermöglicht, sondern gleich die Berechtigung fürs ganze Netzwerksegment bekommt.

  6. Re: HTAccess läßt grüßen ...

    Autor: non_existent 28.01.19 - 09:42

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die
    > MySQL-CLI, usw) auch nicht.
    > Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert
    > sowas hier halt. Naja, mich betrifft es nicht...und solang sowas
    > funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal
    > so weiter machen...

    Mach dich nicht so wichtig, wenn du keine Ahnung hast. Das Problem liegt überhaupt nicht bei PHP, sondern bei MySQL. Jeder Weg ist betroffen ... Also fahr die Kappe wieder ein, setz dich hin und mach dich nicht noch weiter zum Unwissenden.

  7. Re: HTAccess läßt grüßen ...

    Autor: RichardEb 28.01.19 - 10:47

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die
    > MySQL-CLI, usw) auch nicht.
    > Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert
    > sowas hier halt. Naja, mich betrifft es nicht...und solang sowas
    > funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal
    > so weiter machen...

    Es ist häufig der einzige Weg auf die DB zuzugreifen. Häufig ist der DB Server nur vom dem Server erreichbar der ihn auch produktiv nutzen soll. Das ist bei den meisten Webhostern zumindest der Fall. Auch bei nem Root-Server würde ich mir den DB-Port nicht frei ans Netz hängen. Dann habe ich aber auch nur die Option eine Weblösung zu nutzen oder mir nen VPN auf den Root-Server zu Basteln. (Inkls. der Nachteile von VPN)

  8. Re: HTAccess läßt grüßen ...

    Autor: grompa 28.01.19 - 10:58

    Jetzt verbreite mal nicht so viel Halbwissen. Den Zugang zu solchen System nur über VPN zuzulassen ist NATÜRLICH sinnvoll. Auch wenn VPNs angreifbar sind, reduziert man doch die Angrifsfläche enorm. Ausserdem wer sagt dass innerhalb eines Netzwerk jedes System beliebig erreicht werden kann. Da gibt es genügend Möglichkeit auch Beschränkungen zum Schutz des inneren Netzwerk einzurichten.

  9. Re: HTAccess läßt grüßen ...

    Autor: RichardEb 28.01.19 - 12:12

    grompa schrieb:
    --------------------------------------------------------------------------------
    > Jetzt verbreite mal nicht so viel Halbwissen. Den Zugang zu solchen System
    > nur über VPN zuzulassen ist NATÜRLICH sinnvoll. Auch wenn VPNs angreifbar
    > sind, reduziert man doch die Angrifsfläche enorm. Ausserdem wer sagt dass
    > innerhalb eines Netzwerk jedes System beliebig erreicht werden kann. Da
    > gibt es genügend Möglichkeit auch Beschränkungen zum Schutz des inneren
    > Netzwerk einzurichten.

    Also ein SQL-Web-Admin mit htaccess davor ist also eine größere Angriffsfläche als eine VPN Konfiguration? Soso. Es muss halt auch besondere Ansichten in der IT geben.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. MailStore Software GmbH, Viersen
  2. mrm2 automatisierungstechnik gmbh, Bad Ditzenbach
  3. WBS GRUPPE, deutschlandweit (Home-Office)
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 11,99€
  2. (-62%) 11,50€
  3. 34,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

    Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
    Mac Mini mit eGPU im Test
    Externe Grafik macht den Mini zum Pro

    Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
    Ein Test von Marc Sauter

    1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
    2. Apple Mac Mini wird grau und schnell
    3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    1. Datenskandal: Briten kritisieren Facebook als "digitale Gangster"
      Datenskandal
      Briten kritisieren Facebook als "digitale Gangster"

      In einem aufsehenerregenden Bericht dokumentiert das britische Parlament, wie Facebook die Daten seiner Nutzer für Werbezwecke verkauft. Die Untersuchungskommission fordert eine neuartige Regulierung sozialer Medien.

    2. Carsharing: Regierung will Mobilitätsdienste per Gesetz stärken
      Carsharing
      Regierung will Mobilitätsdienste per Gesetz stärken

      Die digitalen Plattformen für Carsharing und Carpooling sollen Rechtssicherheit bekommen. BMW, Daimler und VW sowie Uber & Co. stehen in den Startlöchern.

    3. BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur
      BSI
      Mehr Sicherheitsvorfälle bei kritischer Infrastruktur

      Die Sicherheitslage ist angespannt. Immer mehr Sicherheitsvorfälle werden dem BSI gemeldet. Die Zahlen sind jedoch wenig aussagekräftig.


    1. 14:35

    2. 14:17

    3. 13:53

    4. 13:38

    5. 13:23

    6. 13:04

    7. 12:01

    8. 11:26