Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tor Hidden Services: Falsche…

Ich erinnere mich ...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:24

    ... wie mir gesagt wurde, dass ich das NIH-Syndrom hätte, weil ich mich dazu entschieden habe, meinen eigenen HTTP-Server aufzusetzen. Halt mit dem Gedanken: "Da kannst du dann alles richtig machen". Ich habe einen Hidden Service. Und ich werde den Teufel tun, dahinter etwas zu packen, was ich nicht selbst programmiert habe. Ja, programmiert. Für "normale" Sachen reicht, wenn der Quellcode vorhanden ist, aber bei Hidden Services, da gehst du doch kein Risiko ein!

    Und nein, mir geht es nicht darum, Apache zu bashen. Apache hat ein paar Probleme - die Konfiguration ist übermäßig kompliziert (dafür ist er dann vielseitig), und die Module ergeben nicht immer automatisch Sinn. Aber dafür läuft er relativ stabil und erfüllt seine Aufgabe, das ist mehr, als ich von so manchen Treibern sagen kann.

    Mir geht es darum, dass du KEINEN APACHE HINTER EINEN TOR-SERVICE PACKST. Viel zu große Angriffsfläche. Die Leute haben es VERDIENT, dafür gepwned zu werden, tut mir Leid.

  2. Re: Ich erinnere mich ...

    Autor: Llame 03.02.16 - 13:32

    > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".

    Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl anzweifeln....

    A STRANGE GAME. THE ONLY WINNING MOVE IS NOT TO PLAY.

  3. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:41

    Llame schrieb:
    --------------------------------------------------------------------------------
    > > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".
    >
    > Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code
    > kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity
    > sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl
    > anzweifeln....

    Habe ich auch nicht bezweifelt. Der Apache hat Jahre auf dem Buckel, in denen kaum Features hinzugefügt wurden, und wo sie stattdessen Bugfixes gemacht haben.

    Und daran komme ich wohl nicht ran. Use-After-Free ist bei der Art, mit der ich den Speicher verwalte, kaum bis gar nicht möglich, aber ich bin mir sicher, dass irgendwo noch ein paar Overflows schlummern. Dafür habe ich zwar auch ein Mini-API gehackt, wird aber derzeit nur im MZ/PE/ELF-Reader verwendet. Und selbst, wenn ich in allen Compilern die Warnungen ganz hoch stelle und jedes Fitzelchen Code untersuche, werde ich kaum daran reichen.

    Dennoch: es muss für mich funktionieren. :)

  4. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 14:01

    Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss. Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden. Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Das alles sind aber Tipps, wie schon erwähnt, die man generell beherzigen sollte und nicht nur wenn man Hidden Services betreiben möchte. In welcher Form auch immer. Je mehr Informationen man einem Angreifer liefert, desto einfacher wird es für ihn das System erfolgreich an zu greifen.

    Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B. Nginx.

  5. Re: Ich erinnere mich ...

    Autor: ayngush 03.02.16 - 14:19

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein
    > allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss.
    > Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden.
    > Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche
    > gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Ja und ja und es sollte eine Applikations-Firewall für ein Produktivsystem vorgeschaltet und genutzt werden.
    Aber "Team XAMPP und seine 3 unheimlichen 2" bauen leider sehr häufig das Internet zusammen; gruselig...

  6. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 14:58

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern
    > sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine
    > Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team
    > unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B.
    > Nginx.

    Tatsächlich.

    Ich hatte mal einen Freund in einer Firma, die früher mal ein Konfigurationstool für Servereinstellungen programmiert und vertrieben hat. Mir liegt der Name auf der Zunge, aber er fällt mir nicht mehr ein ... jedenfalls hatte das Ding einigen Absatz.

    Und das kann ich verstehen. Zumindest für mich war der ganze "F/GCI ans Laufen bringen"-Krempel immer eine Spur komplizierter, als es eigentlich hätte sein müssen. Auf der anderen Seite habe ich Apache-aufsetzen nur nebenbei gelernt, eventuell habe ich da einfach eine andere Perspektive als Vollzeitadmins.

  7. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 17:36

    Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist vor Sicherheitslöchern. Es gibt einige und werden vornehmlich bei Root-Servern immer mit angeboten. Für den Heimgebrauch eine nette Sache um seinen privaten Server schnell und einfach auf zu setzen. Auf einem Root-Server würde ich solche Tools aber niemals nutzen ^^

    Du meinst F/CGI? :) Was manche als Kompliziert betrachten, ist in der Regel die große Vielfalt an Einstellungsmöglichkeiten. Nicht nur in den Basiseinstellungen, sondern auch in den ganzen zuschaltbaren Addons. Da kann man schnell die Übersicht verlieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. WBS Training AG, deutschlandweit (Home-Office)
  2. Landratsamt Schweinfurt, Schweinfurt
  3. Bermuda Digital Studio, Bochum
  4. UWS Business Solutions GmbH, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. und Destiny 2 gratis erhalten
  2. 569€ + 5,99€ Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Cray und Microsoft: Supercomputer in der Azure-Cloud mieten
    Cray und Microsoft
    Supercomputer in der Azure-Cloud mieten

    Für KI, Machine Learning und Big Data: Cray for Azure soll die Rechenleistung von Supercomputern in der Cloud für Kunden bereitstellen. Damit werden Cray-Systeme für mehr als nur wissenschaftliche Einrichtungen interessant.

  2. Wiper Premium J XK: Mähroboter mit Persönlichkeitsstörung
    Wiper Premium J XK
    Mähroboter mit Persönlichkeitsstörung

    Unser Mähroboter Wiper Premium J XK ist leider eine Diva, die man nicht allein lassen kann. Das Gerät macht mit theatralischen Fehlern immer wieder auf sich aufmerksam, wird mit den Wochen immer zickiger und kommt nicht aus dem Bett.

  3. Fall Creators Update: Microsoft will neues Windows 10 schneller verteilen
    Fall Creators Update
    Microsoft will neues Windows 10 schneller verteilen

    Das Fall Creators Update sollen Windows-10-Anwender schneller bekommen als bisher. Im Vergleich zur Verteilung des Creators Update wird eine kürzere Wartezeit versprochen.


  1. 09:15

  2. 09:00

  3. 08:23

  4. 07:34

  5. 07:22

  6. 07:11

  7. 18:46

  8. 17:54