1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Ausweiskopien von…

Was ist ein S3 Bucket eigentlich?

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist ein S3 Bucket eigentlich?

    Autor: ashahaghdsa 16.01.20 - 13:54

    Da kann man irgendwie Daten drin speichern. Aber wie ist das erreichbar? Ist das einfach Webspace, wo dann das Directory Listing an ist oder wie muss ich mir das vorstellen?
    Gibt es irgendwo ein Beispiel für ein ungeschütztes Bucket? Muss ja nichts wichtiges drin stehen...
    Gibt es Gründe sowas ungeschützt zu lassen? Also jetzt mit ohnehin öffentlich einsehbaren Daten...

  2. Re: Was ist ein S3 Bucket eigentlich?

    Autor: SasX 16.01.20 - 14:00

    https://aws.amazon.com/de/s3/faqs/

    Ja, es ist im Grunde ein Datenspeicher, ähnlich wie ein Ordner. Die Dateien sind jeweils über eine URL erreichbar. Natürlich kann man den Zugriff entsprechend verwalten. Das muss man aber eben auch tun.

    Ich kenne es nicht von Amazon, aber aus der Google Cloud. Mit zwei Dateien (index.html und error.html) und einem Befehl hast du dann eine statische Webseite.



    1 mal bearbeitet, zuletzt am 16.01.20 14:02 durch SasX.

  3. Re: Was ist ein S3 Bucket eigentlich?

    Autor: AllDayPiano 16.01.20 - 14:12

    Es ist eine Cloud, die automatisch skaliert. Das macht sie für so viele Services so interessant, denn der Dienst kann jederzeit lückenlos vergrößert werden.

    Als einfachen O-RAM (wofür das hier wohl genutzt wurde) braucht es kein S3 Bucket. Keine Ahnung, warum Firmen so unfassbar dumm sind, ihre Daten in eine fremde IT-Infrastruktur auslagern. Vermutlich, weil sie auf das dumme Geschwätz von irgendwelchen Hochglanzprospekten hereingefallen sind.

    https://aws.amazon.com/de/s3/pricing/

    Spottbillig...

  4. Re: Was ist ein S3 Bucket eigentlich?

    Autor: sofries 16.01.20 - 16:58

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Es ist eine Cloud, die automatisch skaliert. Das macht sie für so viele
    > Services so interessant, denn der Dienst kann jederzeit lückenlos
    > vergrößert werden.
    >
    > Als einfachen O-RAM (wofür das hier wohl genutzt wurde) braucht es kein S3
    > Bucket. Keine Ahnung, warum Firmen so unfassbar dumm sind, ihre Daten in
    > eine fremde IT-Infrastruktur auslagern. Vermutlich, weil sie auf das dumme
    > Geschwätz von irgendwelchen Hochglanzprospekten hereingefallen sind.
    >
    > aws.amazon.com
    >
    > Spottbillig...

    Das hat nichts mit Dummheit zu tun. S3 Buckets haben zahlreiche Vorteile als Speicherplatz für Dateien und sind weltweit gut erreichbar. Außerdem hätte der Schaden genauso entstehen können, wenn der eigene Server nicht richtig abgesichert worden wäre, Das die Daten in diesem Fall bei einem Dritten lagen war nicht das Problem, sondern einfach das fehlende Know-How oder der Wille, das Bucket richtig zu konfigurieren.

  5. Re: Was ist ein S3 Bucket eigentlich?

    Autor: ashahaghdsa 16.01.20 - 17:00

    Ja so war mir das im Prinzip auch schon klar. Die Frage ist, gibt es einen legitimen Grund sowas "offen" am Netz zu haben? Und wie sieht das dann aus, ist dann irgendne API ohne authentifikation zugänglich oder mehr so wie http directory listing?

    Warum gibt es ständig Probleme mit offenen S3 Buckets?

  6. Re: Was ist ein S3 Bucket eigentlich?

    Autor: konglumerat 16.01.20 - 17:39

    das musst du im geschäftlich relevantem sinne die beteiligten/betrofenen personen fragen ...

  7. Re: Was ist ein S3 Bucket eigentlich?

    Autor: DarkStaRX 16.01.20 - 18:50

    ashahaghdsa schrieb:
    --------------------------------------------------------------------------------
    > Ja so war mir das im Prinzip auch schon klar. Die Frage ist, gibt es einen
    > legitimen Grund sowas "offen" am Netz zu haben? Und wie sieht das dann aus,
    > ist dann irgendne API ohne authentifikation zugänglich oder mehr so wie
    > http directory listing?
    >
    > Warum gibt es ständig Probleme mit offenen S3 Buckets?

    "Sowas" würde ich niemals öffentlich zur Verfügung stellen.


    Man hat mehrere Authentifizierungsmöglichkeiten um auf die Daten zugreifen zu können. Egal ob dies Systeme oder Benutzer sind. Außerdem gibt es noch die Möglichkeit Daten verschlüsselt dort abzulegen. Heißt selbst wenn du sie laden würdest, bräuchtest du noch den "Schlüssel" um die Daten lesen zu können. Aber die Entwickler haben sich anscheinend für die einfachste Variante entschieden. --> S1 Bucket erstellen, anbinden und mit Daten füllen.
    Das selbe kann in anderen Diensten (z.B. Microsoft Azure) auch passieren.

    Auszug aus dem S3 FAQ / Sicherheit:
    Zugriffskontrolle:
    "Den Kunden stehen vier Mechanismen zur Verfügung, mit denen sie den Zugriff auf Amazon S3-Ressourcen kontrollieren können: IAM-Richtlinien (Identity and Access Management), Bucket-Richtlinien, ACLs (Access Control Lists bzw. Zugriffskontrolllisten) und die Abfrage-String-Authentifizierung."

    Wie stehen die Daten zur Verfügung:
    Über SSL-Endpunkte, die das HTTPS-Protokoll verwenden, können Sie sicher Ihre Daten in Amazon S3 hoch- bzw. herunterladen.


    Würde also einfach mal behaupten das sie es dort nicht eingerichtet haben weil sie keine Ahnung oder nur vergessen hatten.

  8. Re: Was ist ein S3 Bucket eigentlich?

    Autor: Quantium40 17.01.20 - 10:34

    AllDayPiano schrieb:
    > aws.amazon.com
    > Spottbillig...

    Wenn man das mal mit den Preisen bei DATEV-Belege online vergleicht, ist das wirklich spottbillig.

    Siehe auch
    https://www.datev.de/berechnungstool-belegverwaltung-online/berechnungstool.html

  9. Re: Was ist ein S3 Bucket eigentlich?

    Autor: AllDayPiano 17.01.20 - 10:49

    Ich bin da aber auch einem Bären aufgesessen. Habe mal die Preise in den AWS Rechner gekloppt. Ich ziehe "billig" zurück, und ersetze es durch "ganz schön teuer". Die Preise sind reine Augenwischerei, weil jeder Put, und jeder Get extra kostet. Spielt man z.B. ein Windows-Backup (als Einzeldateien) auf den AWS Server, sind das mal gut und gerne 140.000 put Befehle. Zieht man es runter, nochmal 140.000 get Befehle. Der Speicher selbst mag billig sein, aber die Zugriffe kosten satt Asche.

    Um beim Windows Beispiel zu bleiben kostete eine einmalige Sicherung ins S3-Bucket in Einzeldateien (ob nun sinnvoll oder nicht, aber es geht ja nur um ein Gefühl) etwa 30 Euro.

  10. Re: Was ist ein S3 Bucket eigentlich?

    Autor: Quantium40 17.01.20 - 11:06

    AllDayPiano schrieb:
    > Um beim Windows Beispiel zu bleiben kostete eine einmalige Sicherung ins
    > S3-Bucket in Einzeldateien (ob nun sinnvoll oder nicht, aber es geht ja nur
    > um ein Gefühl) etwa 30 Euro.

    Bei DATEV verlangen die für die Belegspeicherung zwischen 1¤ und 3,50¤ pro 0,5GB monatlich.
    Dafür hat man dann allerdings keine extra Kosten für PUT/GET-Zugriffe.
    Dafür kosten einen dann 25GB (so das Niveau eines Windows-Ordners), die man dort ablädt, mal ganz sportlich um die 100¤ im Monat.

  11. Re: Was ist ein S3 Bucket eigentlich?

    Autor: AgentBignose 18.01.20 - 19:09

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > AllDayPiano schrieb:
    > > Um beim Windows Beispiel zu bleiben kostete eine einmalige Sicherung ins
    > > S3-Bucket in Einzeldateien (ob nun sinnvoll oder nicht, aber es geht ja
    > nur
    > > um ein Gefühl) etwa 30 Euro.
    >
    > Bei DATEV verlangen die für die Belegspeicherung zwischen 1¤ und 3,50¤ pro
    > 0,5GB monatlich.
    > Dafür hat man dann allerdings keine extra Kosten für PUT/GET-Zugriffe.
    > Dafür kosten einen dann 25GB (so das Niveau eines Windows-Ordners), die man
    > dort ablädt, mal ganz sportlich um die 100¤ im Monat.

    Nach dem verlinkten Berechnungstool sind 25GB "sonstige Daten" 370¤ im Monat.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. NOVENTI Health SE, Bietigheim-Bissingen, Mannheim, Oberhausen
  2. ivv GmbH, Hannover
  3. Basler AG, Hamburg
  4. CureVac AG, Tübingen bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. für PC, PS4/PS5, Xbox und Switch
  2. 6,99€
  3. (u. a. Star Wars Jedi: Fallen Order für 23,99€, Star Wars: Squadrons für 18,99€, Star Wars...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme