Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tor Hidden Services: Falsche…

Ich erinnere mich ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:24

    ... wie mir gesagt wurde, dass ich das NIH-Syndrom hätte, weil ich mich dazu entschieden habe, meinen eigenen HTTP-Server aufzusetzen. Halt mit dem Gedanken: "Da kannst du dann alles richtig machen". Ich habe einen Hidden Service. Und ich werde den Teufel tun, dahinter etwas zu packen, was ich nicht selbst programmiert habe. Ja, programmiert. Für "normale" Sachen reicht, wenn der Quellcode vorhanden ist, aber bei Hidden Services, da gehst du doch kein Risiko ein!

    Und nein, mir geht es nicht darum, Apache zu bashen. Apache hat ein paar Probleme - die Konfiguration ist übermäßig kompliziert (dafür ist er dann vielseitig), und die Module ergeben nicht immer automatisch Sinn. Aber dafür läuft er relativ stabil und erfüllt seine Aufgabe, das ist mehr, als ich von so manchen Treibern sagen kann.

    Mir geht es darum, dass du KEINEN APACHE HINTER EINEN TOR-SERVICE PACKST. Viel zu große Angriffsfläche. Die Leute haben es VERDIENT, dafür gepwned zu werden, tut mir Leid.

  2. Re: Ich erinnere mich ...

    Autor: Llame 03.02.16 - 13:32

    > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".

    Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl anzweifeln....

    A STRANGE GAME. THE ONLY WINNING MOVE IS NOT TO PLAY.

  3. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:41

    Llame schrieb:
    --------------------------------------------------------------------------------
    > > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".
    >
    > Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code
    > kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity
    > sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl
    > anzweifeln....

    Habe ich auch nicht bezweifelt. Der Apache hat Jahre auf dem Buckel, in denen kaum Features hinzugefügt wurden, und wo sie stattdessen Bugfixes gemacht haben.

    Und daran komme ich wohl nicht ran. Use-After-Free ist bei der Art, mit der ich den Speicher verwalte, kaum bis gar nicht möglich, aber ich bin mir sicher, dass irgendwo noch ein paar Overflows schlummern. Dafür habe ich zwar auch ein Mini-API gehackt, wird aber derzeit nur im MZ/PE/ELF-Reader verwendet. Und selbst, wenn ich in allen Compilern die Warnungen ganz hoch stelle und jedes Fitzelchen Code untersuche, werde ich kaum daran reichen.

    Dennoch: es muss für mich funktionieren. :)

  4. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 14:01

    Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss. Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden. Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Das alles sind aber Tipps, wie schon erwähnt, die man generell beherzigen sollte und nicht nur wenn man Hidden Services betreiben möchte. In welcher Form auch immer. Je mehr Informationen man einem Angreifer liefert, desto einfacher wird es für ihn das System erfolgreich an zu greifen.

    Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B. Nginx.

  5. Re: Ich erinnere mich ...

    Autor: ayngush 03.02.16 - 14:19

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein
    > allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss.
    > Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden.
    > Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche
    > gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Ja und ja und es sollte eine Applikations-Firewall für ein Produktivsystem vorgeschaltet und genutzt werden.
    Aber "Team XAMPP und seine 3 unheimlichen 2" bauen leider sehr häufig das Internet zusammen; gruselig...

  6. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 14:58

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern
    > sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine
    > Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team
    > unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B.
    > Nginx.

    Tatsächlich.

    Ich hatte mal einen Freund in einer Firma, die früher mal ein Konfigurationstool für Servereinstellungen programmiert und vertrieben hat. Mir liegt der Name auf der Zunge, aber er fällt mir nicht mehr ein ... jedenfalls hatte das Ding einigen Absatz.

    Und das kann ich verstehen. Zumindest für mich war der ganze "F/GCI ans Laufen bringen"-Krempel immer eine Spur komplizierter, als es eigentlich hätte sein müssen. Auf der anderen Seite habe ich Apache-aufsetzen nur nebenbei gelernt, eventuell habe ich da einfach eine andere Perspektive als Vollzeitadmins.

  7. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 17:36

    Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist vor Sicherheitslöchern. Es gibt einige und werden vornehmlich bei Root-Servern immer mit angeboten. Für den Heimgebrauch eine nette Sache um seinen privaten Server schnell und einfach auf zu setzen. Auf einem Root-Server würde ich solche Tools aber niemals nutzen ^^

    Du meinst F/CGI? :) Was manche als Kompliziert betrachten, ist in der Regel die große Vielfalt an Einstellungsmöglichkeiten. Nicht nur in den Basiseinstellungen, sondern auch in den ganzen zuschaltbaren Addons. Da kann man schnell die Übersicht verlieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Zurich Gruppe Deutschland, Bonn
  2. SEAL Systems AG, Röttenbach bei Erlangen, Roßdorf bei Darmstadt
  3. Hays AG, Aschaffenburg
  4. STAHLGRUBER GmbH, Poing bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (nur für Prime-Mitglieder)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

  1. Blue Origin: Neuer Höhenrekord mit deutschem Experiment an Bord
    Blue Origin
    Neuer Höhenrekord mit deutschem Experiment an Bord

    Wer wohlhabende Passagiere ins Weltall fliegt, will vorher alle Sicherheitssysteme testen. Jeff Bezos' Touristenrakete New Shepard hat dabei auch noch einen neuen Rekord aufgestellt.

  2. 1,2 Terabyte pro Tag: Vodafone versorgt 50 Open-Air-Events in Deutschland
    1,2 Terabyte pro Tag
    Vodafone versorgt 50 Open-Air-Events in Deutschland

    Vodafone ist auch in diesem Jahr wieder mit Lastwagen unterwegs, um Open-Air-Events zu versorgen. Die neun Tonnen schweren mobilen Basisstationen und 20 Meter ausfahrbaren Teleskopmasten sollen 1,2 Terabyte pro Tag transportieren.

  3. Blizzard: Abo von World of Warcraft enthält fast alles
    Blizzard
    Abo von World of Warcraft enthält fast alles

    Blizzard hat das Geschäftsmodell von World of Warcraft umgestellt: Das Grundspiel und alle bislang veröffentlichten Erweiterungen sind im Abo enthalten. Auch technisch hat sich mit der Veröffentlichung des Vorbereitungspatchs für Battle for Azeroth einiges geändert.


  1. 18:50

  2. 17:51

  3. 17:17

  4. 16:49

  5. 16:09

  6. 15:40

  7. 15:21

  8. 15:07