Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tor Hidden Services: Falsche…

Ich erinnere mich ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:24

    ... wie mir gesagt wurde, dass ich das NIH-Syndrom hätte, weil ich mich dazu entschieden habe, meinen eigenen HTTP-Server aufzusetzen. Halt mit dem Gedanken: "Da kannst du dann alles richtig machen". Ich habe einen Hidden Service. Und ich werde den Teufel tun, dahinter etwas zu packen, was ich nicht selbst programmiert habe. Ja, programmiert. Für "normale" Sachen reicht, wenn der Quellcode vorhanden ist, aber bei Hidden Services, da gehst du doch kein Risiko ein!

    Und nein, mir geht es nicht darum, Apache zu bashen. Apache hat ein paar Probleme - die Konfiguration ist übermäßig kompliziert (dafür ist er dann vielseitig), und die Module ergeben nicht immer automatisch Sinn. Aber dafür läuft er relativ stabil und erfüllt seine Aufgabe, das ist mehr, als ich von so manchen Treibern sagen kann.

    Mir geht es darum, dass du KEINEN APACHE HINTER EINEN TOR-SERVICE PACKST. Viel zu große Angriffsfläche. Die Leute haben es VERDIENT, dafür gepwned zu werden, tut mir Leid.

  2. Re: Ich erinnere mich ...

    Autor: Llame 03.02.16 - 13:32

    > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".

    Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl anzweifeln....

    A STRANGE GAME. THE ONLY WINNING MOVE IS NOT TO PLAY.

  3. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:41

    Llame schrieb:
    --------------------------------------------------------------------------------
    > > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".
    >
    > Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code
    > kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity
    > sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl
    > anzweifeln....

    Habe ich auch nicht bezweifelt. Der Apache hat Jahre auf dem Buckel, in denen kaum Features hinzugefügt wurden, und wo sie stattdessen Bugfixes gemacht haben.

    Und daran komme ich wohl nicht ran. Use-After-Free ist bei der Art, mit der ich den Speicher verwalte, kaum bis gar nicht möglich, aber ich bin mir sicher, dass irgendwo noch ein paar Overflows schlummern. Dafür habe ich zwar auch ein Mini-API gehackt, wird aber derzeit nur im MZ/PE/ELF-Reader verwendet. Und selbst, wenn ich in allen Compilern die Warnungen ganz hoch stelle und jedes Fitzelchen Code untersuche, werde ich kaum daran reichen.

    Dennoch: es muss für mich funktionieren. :)

  4. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 14:01

    Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss. Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden. Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Das alles sind aber Tipps, wie schon erwähnt, die man generell beherzigen sollte und nicht nur wenn man Hidden Services betreiben möchte. In welcher Form auch immer. Je mehr Informationen man einem Angreifer liefert, desto einfacher wird es für ihn das System erfolgreich an zu greifen.

    Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B. Nginx.

  5. Re: Ich erinnere mich ...

    Autor: ayngush 03.02.16 - 14:19

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein
    > allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss.
    > Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden.
    > Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche
    > gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Ja und ja und es sollte eine Applikations-Firewall für ein Produktivsystem vorgeschaltet und genutzt werden.
    Aber "Team XAMPP und seine 3 unheimlichen 2" bauen leider sehr häufig das Internet zusammen; gruselig...

  6. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 14:58

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern
    > sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine
    > Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team
    > unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B.
    > Nginx.

    Tatsächlich.

    Ich hatte mal einen Freund in einer Firma, die früher mal ein Konfigurationstool für Servereinstellungen programmiert und vertrieben hat. Mir liegt der Name auf der Zunge, aber er fällt mir nicht mehr ein ... jedenfalls hatte das Ding einigen Absatz.

    Und das kann ich verstehen. Zumindest für mich war der ganze "F/GCI ans Laufen bringen"-Krempel immer eine Spur komplizierter, als es eigentlich hätte sein müssen. Auf der anderen Seite habe ich Apache-aufsetzen nur nebenbei gelernt, eventuell habe ich da einfach eine andere Perspektive als Vollzeitadmins.

  7. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 17:36

    Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist vor Sicherheitslöchern. Es gibt einige und werden vornehmlich bei Root-Servern immer mit angeboten. Für den Heimgebrauch eine nette Sache um seinen privaten Server schnell und einfach auf zu setzen. Auf einem Root-Server würde ich solche Tools aber niemals nutzen ^^

    Du meinst F/CGI? :) Was manche als Kompliziert betrachten, ist in der Regel die große Vielfalt an Einstellungsmöglichkeiten. Nicht nur in den Basiseinstellungen, sondern auch in den ganzen zuschaltbaren Addons. Da kann man schnell die Übersicht verlieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, München
  2. M-net Telekommunikations GmbH, München
  3. WEISS automotive GmbH, Raum Offenburg
  4. Bundeskriminalamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 72,99€ (Release am 19. September)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Dark Mode: Wann Schwarz-Weiß-Denken weiterhilft
    Dark Mode
    Wann Schwarz-Weiß-Denken weiterhilft

    Viele Nutzer und auch Apple versprechen sich vom Dark Mode eine augenschonendere Darstellung von Bildinhalten. Doch die Funktion bringt andere Vorteile als viele denken - und sogar Nachteile, die bereits bekannte Probleme bei der Arbeit am Bildschirm noch verstärken.
    Von Mike Wobker

    1. Sicherheitsprobleme Schlechte Passwörter bei Ärzten
    2. DrEd Online-Arztpraxis Zava will auch in Deutschland eröffnen
    3. Vivy & Co. Gesundheitsapps kranken an der Sicherheit

    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      1. Machine Learning: Google bietet vorgefertigte Umgebungen für KI-Training an
        Machine Learning
        Google bietet vorgefertigte Umgebungen für KI-Training an

        Googles Deep Learning Containers sind in der Cloud gehostete Entwicklungsumgebungen, in der Nutzer ohne viel Einrichtungsaufwand ihre Machine-Learning-Software trainieren können. Die Container schöpfen Ressourcen direkt aus der Google-Cloud mit Intel-CPUs und Nvidia-GPUs. Amazon war aber zuerst da.

      2. Spielebranche: "Katastrophe biblischen Ausmaßes für die deutsche Branche"
        Spielebranche
        "Katastrophe biblischen Ausmaßes für die deutsche Branche"

        Es ist ein Schock für Spielentwickler: Nach der gefeierten Förderung mit rund 50 Millionen Euro zeichnet sich ab, welche Summe der zuständige Bundesminister Andreas Scheuer für das Jahr 2020 bereitstellt - nichts.

      3. Überwachung bei Airbnb: Vom Suchen und Finden versteckter Kameras
        Überwachung bei Airbnb
        Vom Suchen und Finden versteckter Kameras

        Heimliche Videoaufnahmen in Airbnb-Wohnungen sind verboten, dennoch entdecken Mieter in ihren Unterkünften immer wieder versteckte Überwachungskameras. Es kann sich also lohnen, gezielt nach solchen Kameras zu suchen. Wir erklären, wie man das am besten macht.


      1. 12:40

      2. 12:24

      3. 12:02

      4. 11:51

      5. 11:00

      6. 10:40

      7. 10:25

      8. 10:10