Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › MongoDB: Sprechender Teddy teilte…

Immer wieder MongoDB

  1. Thema

Neues Thema Ansicht wechseln


  1. Immer wieder MongoDB

    Autor: schap23 28.02.17 - 17:24

    Wer immer noch nicht gemerkt hat, daß MongoDB eine Sicherheitsproblem ist, hat viele Monate verschlafen. Wer MongoDB benutzen will, sollte auf alle Fälle Sicherstellen, daß die Datenbank nicht von außen erreichbar ist.

  2. Re: Immer wieder MongoDB

    Autor: ranzassel 28.02.17 - 17:28

    Warum die MongoDB ein Sicherheitsproblem sein sollte, erschließt sich mir weder aus diesem noch den vorherigen Artikeln?

  3. Re: Immer wieder MongoDB

    Autor: theonlyone 28.02.17 - 17:28

    schap23 schrieb:
    --------------------------------------------------------------------------------
    > Wer immer noch nicht gemerkt hat, daß MongoDB eine Sicherheitsproblem ist,
    > hat viele Monate verschlafen. Wer MongoDB benutzen will, sollte auf alle
    > Fälle Sicherstellen, daß die Datenbank nicht von außen erreichbar ist.

    Naja eine MongoDB aufzusetzen ist eben so einfach das jeder glaubt das "produktiv" genauso zu machen.

    Das ist natürlich eine Illusion und schon grob fahrlässig.

    ----

    Jeder der etwas Know-How mitbringt wird solche gravierenden und trivialen Fehler nicht machen (und die vor allem sofort fixen wenn da etwas bekannt wird).

    Den das größte Unding ist ja das hier einfach alles ignoriert wird, selbst wenn man darauf hingewiesen wird.

  4. Re: Immer wieder MongoDB

    Autor: Arsenal 28.02.17 - 17:44

    Vermutlich ist es bei MongoDB so ähnlich wie bei vielen anderen "Serversachen" auch. Man braucht mal kurz was, hat keine Ahnung wie es geht und die Dokumentation direkt auf der Seite ist viel zu kompliziert um mal schnell was ans laufen zu kriegen.

    Also nimmt man eben das Tutorial von diesem Typ da, der bringt das ganze in 5 Minuten zum Laufen.

    Einwandfrei, geht bei mir auch. "Chef, die MongoDB läuft jetzt auch bei uns." "Prima, dann kümmern Sie sich als nächstes um den NginX-Server der so toll sein soll".

    Die wenigsten Tutorials die ich bisher in dem Bereich gesehen habe kümmern sich groß um die Absicherung der Server. Ist ja nur fürs Heimnetz oder meine kleine Webseite interessiert ja eh niemand. Dass inzwischen (naja seit Windows XP Service Pack 3 mindestens schon) Botnetze unterwegs sind, die nach 30 Sekunden angreifbare Systeme ausnutzen ist einfach noch nicht durchgesickert - die interessieren sich auch nicht für die kleine Webseite, aber den Server der dahinter steht schnappen sie sich gern.
    Auch die Zwischenschritte ("Der Server ist noch nicht fertig, aber die Standardseite liefert es schon aus, probier einfach mal mit "service start apache2"") können da schon gefährlich werden, wenn die Standardkonfiguration zu viele Rechte einräumt, was auch hin und wieder mal vorkommt.

  5. Re: Immer wieder MongoDB

    Autor: theq86 28.02.17 - 18:25

    Tja. Sieht so aus als gäbe es den größten "Fachkräftemangel" vor allem in Firmen mit voll besetzten Stellen.

  6. Re: Immer wieder MongoDB

    Autor: Porterex 28.02.17 - 18:37

    schap23 schrieb:
    --------------------------------------------------------------------------------
    > Wer immer noch nicht gemerkt hat, daß MongoDB eine Sicherheitsproblem ist,
    > hat viele Monate verschlafen. Wer MongoDB benutzen will, sollte auf alle
    > Fälle Sicherstellen, daß die Datenbank nicht von außen erreichbar ist.

    Nein. Das Sicherheitsproblem sitzt vor dem Rechner und schimpft sich (in diesem Fall) Admin.

    theq86 schrieb:
    --------------------------------------------------------------------------------
    > Tja. Sieht so aus als gäbe es den größten "Fachkräftemangel" vor allem in
    > Firmen mit voll besetzten Stellen.

    Das kommt eben heraus wenn der Chef mal schnell was will und wie ihm egal ist, oder wenn Schulung von Mitarbeiter keine Priorität genießt.



    2 mal bearbeitet, zuletzt am 28.02.17 18:39 durch Porterex.

  7. Re: Immer wieder MongoDB

    Autor: ElMario 28.02.17 - 20:41

    theq86 schrieb:
    --------------------------------------------------------------------------------
    > Tja. Sieht so aus als gäbe es den größten "Fachkräftemangel" vor allem in
    > Firmen mit voll besetzten Stellen.


    Sehr gut :)

  8. Re: Immer wieder MongoDB

    Autor: Plasma 01.03.17 - 12:11

    MongoDB kann, wie z.B. auch Redis und wahrscheinlich vieles andere NoSQL-Gedöhns, ohne Authentifizierung betrieben werden. Standardinstallationen haben dies in der Regel sogar deaktiviert um den Einstieg so einfach wie möglich zu machen. Im Produktivbetrieb ist solche Nachlässigkeit dann fatal.

    Ich erinnere mich an den ersten großen Fall, als jemand eine offenen Mongo mit hunderttausenden Einträgen fand und das bekannt wurde. Damals hat das MongoDB-Projekt versprochen an dieser Stelle nachzubessern. Ich glaube nicht dass da was passiert ist, denn meine lokale, aktuelle Installation geht immernoch ohne Credentials.

    Was daran so schwierig sein soll, dem Benutzer bei der ersten Installation Name und Passwort abzuverlangen, erschließt sich mir nicht. Wenn ich eine klassische SQL-Datenbank hochziehe geht auch nichts ohne Credentials, und der Paketmanager fragt das direkt bei der Einrichtung ab.

    Selbst wenn man dann einen einzelnen root-Account für alles benutzt und das am Ende so produktiv geht, ist das zwar alles andere als perfekt, aber immernoch besser als den Daemon komplett ungesichert auf dem Standardport laufen zu lassen. Da kann ihn jeder innerhalb von Minuten mit einem passenden Scan finden.

  9. Re: Immer wieder MongoDB

    Autor: User_x 01.03.17 - 13:22

    Tutorial vs. Sachbuch.

    Letztendlich bekommt man nicht mal in teuren Sachbüchern alle notwendigen Informationen, die labern auch nur über ein bissl drüber, bis es funzt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Raum Nürnberg
  2. MAGELLAN Rechtsanwälte Säugling und Partner mbB, München
  3. Stadtwerke München GmbH, München
  4. AWEK microdata GmbH, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 279,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27