Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tor Hidden Services: Falsche…

Ich erinnere mich ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:24

    ... wie mir gesagt wurde, dass ich das NIH-Syndrom hätte, weil ich mich dazu entschieden habe, meinen eigenen HTTP-Server aufzusetzen. Halt mit dem Gedanken: "Da kannst du dann alles richtig machen". Ich habe einen Hidden Service. Und ich werde den Teufel tun, dahinter etwas zu packen, was ich nicht selbst programmiert habe. Ja, programmiert. Für "normale" Sachen reicht, wenn der Quellcode vorhanden ist, aber bei Hidden Services, da gehst du doch kein Risiko ein!

    Und nein, mir geht es nicht darum, Apache zu bashen. Apache hat ein paar Probleme - die Konfiguration ist übermäßig kompliziert (dafür ist er dann vielseitig), und die Module ergeben nicht immer automatisch Sinn. Aber dafür läuft er relativ stabil und erfüllt seine Aufgabe, das ist mehr, als ich von so manchen Treibern sagen kann.

    Mir geht es darum, dass du KEINEN APACHE HINTER EINEN TOR-SERVICE PACKST. Viel zu große Angriffsfläche. Die Leute haben es VERDIENT, dafür gepwned zu werden, tut mir Leid.

  2. Re: Ich erinnere mich ...

    Autor: Llame 03.02.16 - 13:32

    > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".

    Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl anzweifeln....

    A STRANGE GAME. THE ONLY WINNING MOVE IS NOT TO PLAY.

  3. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 13:41

    Llame schrieb:
    --------------------------------------------------------------------------------
    > > Halt mit dem Gedanken: "Da kannst du dann alles richtig machen".
    >
    > Das Konzept geht aber vermutlich auch nur auf, weil keiner deinen Code
    > kennt und Sicherheitslücken so schwer zu finden sind. Security by Obscurity
    > sozusagen. Ob er wirklich sicherer ist als Apache darf man wohl
    > anzweifeln....

    Habe ich auch nicht bezweifelt. Der Apache hat Jahre auf dem Buckel, in denen kaum Features hinzugefügt wurden, und wo sie stattdessen Bugfixes gemacht haben.

    Und daran komme ich wohl nicht ran. Use-After-Free ist bei der Art, mit der ich den Speicher verwalte, kaum bis gar nicht möglich, aber ich bin mir sicher, dass irgendwo noch ein paar Overflows schlummern. Dafür habe ich zwar auch ein Mini-API gehackt, wird aber derzeit nur im MZ/PE/ELF-Reader verwendet. Und selbst, wenn ich in allen Compilern die Warnungen ganz hoch stelle und jedes Fitzelchen Code untersuche, werde ich kaum daran reichen.

    Dennoch: es muss für mich funktionieren. :)

  4. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 14:01

    Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss. Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden. Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Das alles sind aber Tipps, wie schon erwähnt, die man generell beherzigen sollte und nicht nur wenn man Hidden Services betreiben möchte. In welcher Form auch immer. Je mehr Informationen man einem Angreifer liefert, desto einfacher wird es für ihn das System erfolgreich an zu greifen.

    Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B. Nginx.

  5. Re: Ich erinnere mich ...

    Autor: ayngush 03.02.16 - 14:19

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Ich erinnere mich auch daran das die Deaktivierung des Status Mods ein
    > allgemeiner Sicherheitstipp ist :) Er ist gut, wenn man Fehler suchen muss.
    > Aber auf einem Produktiv System sollte der Mod generell deaktiviert werden.
    > Da er generell Rückschlüsse auf das gesamte System zulässt. Das gleiche
    > gilt auch für ein paar andere Einstellungen. Besonders aus Fehlerseiten ;)

    Ja und ja und es sollte eine Applikations-Firewall für ein Produktivsystem vorgeschaltet und genutzt werden.
    Aber "Team XAMPP und seine 3 unheimlichen 2" bauen leider sehr häufig das Internet zusammen; gruselig...

  6. Re: Ich erinnere mich ...

    Autor: Linuxschaden 03.02.16 - 14:58

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Im übrigen ist die Konfig vom Apache überhaupt nicht kompliziert. Sondern
    > sogar sehr einfach :) Der Apache hat allerdings größere Probleme als seine
    > Konfig Struktur. Nämlich z.B. in seiner Skalierbarkeit. Da muss das Team
    > unbedingt dran arbeiten. Aber es gibt ja noch einige alternativen. Wie z.B.
    > Nginx.

    Tatsächlich.

    Ich hatte mal einen Freund in einer Firma, die früher mal ein Konfigurationstool für Servereinstellungen programmiert und vertrieben hat. Mir liegt der Name auf der Zunge, aber er fällt mir nicht mehr ein ... jedenfalls hatte das Ding einigen Absatz.

    Und das kann ich verstehen. Zumindest für mich war der ganze "F/GCI ans Laufen bringen"-Krempel immer eine Spur komplizierter, als es eigentlich hätte sein müssen. Auf der anderen Seite habe ich Apache-aufsetzen nur nebenbei gelernt, eventuell habe ich da einfach eine andere Perspektive als Vollzeitadmins.

  7. Re: Ich erinnere mich ...

    Autor: tingelchen 03.02.16 - 17:36

    Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist vor Sicherheitslöchern. Es gibt einige und werden vornehmlich bei Root-Servern immer mit angeboten. Für den Heimgebrauch eine nette Sache um seinen privaten Server schnell und einfach auf zu setzen. Auf einem Root-Server würde ich solche Tools aber niemals nutzen ^^

    Du meinst F/CGI? :) Was manche als Kompliziert betrachten, ist in der Regel die große Vielfalt an Einstellungsmöglichkeiten. Nicht nur in den Basiseinstellungen, sondern auch in den ganzen zuschaltbaren Addons. Da kann man schnell die Übersicht verlieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. über Hays AG, Nordrhein-Westfalen
  3. MEDION AG, Essen
  4. Continental AG, Lindau am Bodensee

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 16,99€
  2. 1,99€
  3. (-60%) 5,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

  1. Matt Booty: Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
    Matt Booty
    Mr. Minecraft wird neuer Spiele-Chef bei Microsoft

    Es ist wohl auch als Aufwertung der hauseigenen Spielentwicklung gedacht: Microsoft hat einen neuen Chef für seine Studios. Bislang war Matt Booty vor allem für Minecraft zuständig. Künftig ist er auch für Titel wie Age Of Empires 4 verantwortlich.

  2. Gerichtsurteil: Internet- und Fernsehkunden müssen bei Umzug weiterzahlen
    Gerichtsurteil
    Internet- und Fernsehkunden müssen bei Umzug weiterzahlen

    Wer umzieht, muss seinen bisherigen Vertrag auch dann erst einmal weiterzahlen, wenn der Anbieter am neuen Standort gar nicht vertreten ist. Vodafone hat damit in einer Revision recht bekommen. Diese Gesetzeslage findet sogar der Richter unerfreulich.

  3. Sicherheitsupdate: Microsoft-Compiler baut Schutz gegen Spectre
    Sicherheitsupdate
    Microsoft-Compiler baut Schutz gegen Spectre

    Eine neue Funktion in Microsofts Compiler für C und C++ soll Schutzmaßnahmen gegen eine Variante des Spectre-Angriffs in Code einbauen. Diese Vorgehen wird zwar von Intel empfohlen, hat aber offensichtlich Grenzen und wird deshalb von der Linux-Community kritisiert.


  1. 16:48

  2. 16:13

  3. 15:36

  4. 13:15

  5. 13:00

  6. 12:45

  7. 12:30

  8. 12:00