Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenbank: Lange bekannte MySQL-Lücke…

HTAccess läßt grüßen ...

  1. Thema

Neues Thema Ansicht wechseln


  1. HTAccess läßt grüßen ...

    Autor: derhutschi 27.01.19 - 17:20

    wenn man ein HTAccess vorschaltet (oder noch besser sowas nur per VPN erreichbar macht oder auch nur bei Bedarf aktiviert) besteht so ein Problem erst gar nicht

  2. Re: HTAccess läßt grüßen ...

    Autor: tomatentee 27.01.19 - 19:52

    Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die MySQL-CLI, usw) auch nicht.
    Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert sowas hier halt. Naja, mich betrifft es nicht...und solang sowas funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal so weiter machen...

  3. Re: HTAccess läßt grüßen ...

    Autor: LinuxMcBook 27.01.19 - 20:49

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > also kein php-crap

    Ist das ein PHP Framework o.ä.? Der Name sagt mir gar nichts.

  4. Re: HTAccess läßt grüßen ...

    Autor: Iruwen 27.01.19 - 22:30

    Sollte wohl ein PHP Bashing werden, ging aber wie üblich komplett am Thema vorbei.

  5. Re: HTAccess läßt grüßen ...

    Autor: chefin 28.01.19 - 07:49

    Stimmt, weil PHP nur der Weg ist, der Bug ist in mySQL und grundsätzlich über jeden Zugangsweg ausnutzbar. Auch über das Benutzerfrontend. Und das ist wohl kaum zu reglementieren.

    Und wie Unwissend die Kritiker weiter oben sind, erkennt man schon am VPN. Einfach nur ein BUZZ-Wort einwerfen um intelligent zu wirken. Aber nicht wissend was VPN eigentlich ist.

    Mit VPN wird lediglich ein verschlüsselter Zugang zu einem Netzwerk geöffnet. VPN selbst ist genauso von Bugs betroffen sie alles andere. Nur das ein geknackter VPN nicht nur den Zugang zu einem einzelsystem ermöglicht, sondern gleich die Berechtigung fürs ganze Netzwerksegment bekommt.

  6. Re: HTAccess läßt grüßen ...

    Autor: non_existent 28.01.19 - 09:42

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die
    > MySQL-CLI, usw) auch nicht.
    > Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert
    > sowas hier halt. Naja, mich betrifft es nicht...und solang sowas
    > funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal
    > so weiter machen...

    Mach dich nicht so wichtig, wenn du keine Ahnung hast. Das Problem liegt überhaupt nicht bei PHP, sondern bei MySQL. Jeder Weg ist betroffen ... Also fahr die Kappe wieder ein, setz dich hin und mach dich nicht noch weiter zum Unwissenden.

  7. Re: HTAccess läßt grüßen ...

    Autor: RichardEb 28.01.19 - 10:47

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die
    > MySQL-CLI, usw) auch nicht.
    > Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert
    > sowas hier halt. Naja, mich betrifft es nicht...und solang sowas
    > funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal
    > so weiter machen...

    Es ist häufig der einzige Weg auf die DB zuzugreifen. Häufig ist der DB Server nur vom dem Server erreichbar der ihn auch produktiv nutzen soll. Das ist bei den meisten Webhostern zumindest der Fall. Auch bei nem Root-Server würde ich mir den DB-Port nicht frei ans Netz hängen. Dann habe ich aber auch nur die Option eine Weblösung zu nutzen oder mir nen VPN auf den Root-Server zu Basteln. (Inkls. der Nachteile von VPN)

  8. Re: HTAccess läßt grüßen ...

    Autor: grompa 28.01.19 - 10:58

    Jetzt verbreite mal nicht so viel Halbwissen. Den Zugang zu solchen System nur über VPN zuzulassen ist NATÜRLICH sinnvoll. Auch wenn VPNs angreifbar sind, reduziert man doch die Angrifsfläche enorm. Ausserdem wer sagt dass innerhalb eines Netzwerk jedes System beliebig erreicht werden kann. Da gibt es genügend Möglichkeit auch Beschränkungen zum Schutz des inneren Netzwerk einzurichten.

  9. Re: HTAccess läßt grüßen ...

    Autor: RichardEb 28.01.19 - 12:12

    grompa schrieb:
    --------------------------------------------------------------------------------
    > Jetzt verbreite mal nicht so viel Halbwissen. Den Zugang zu solchen System
    > nur über VPN zuzulassen ist NATÜRLICH sinnvoll. Auch wenn VPNs angreifbar
    > sind, reduziert man doch die Angrifsfläche enorm. Ausserdem wer sagt dass
    > innerhalb eines Netzwerk jedes System beliebig erreicht werden kann. Da
    > gibt es genügend Möglichkeit auch Beschränkungen zum Schutz des inneren
    > Netzwerk einzurichten.

    Also ein SQL-Web-Admin mit htaccess davor ist also eine größere Angriffsfläche als eine VPN Konfiguration? Soso. Es muss halt auch besondere Ansichten in der IT geben.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn, München
  2. we.CONECT Global Leaders GmbH, Berlin
  3. scheppach Fabrikation von Holzbearbeitungsmaschinen GmbH, Ichenhausen
  4. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 159,00€ (Bestpreis!)
  2. (u. a. Angebote zu Kopfhörern, Bluetooth Boxen, Soundbars)
  3. bis zu 11 PC-Spiele für 11,65€


Haben wir etwas übersehen?

E-Mail an news@golem.de


e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    1. Telefónica Deutschland: Größter LTE-Ausbau der Unternehmensgeschichte
      Telefónica Deutschland
      Größter LTE-Ausbau der Unternehmensgeschichte

      Um die Versorgungsauflagen aus dem Jahr 2015 zu erfüllen, hat die Telefónica ihr bisher größtes Ausbauprogramm gestartet. Im April sei es weiter vorangegangen.

    2. Gamification: Amazon verpackt öde Arbeit als Spiel
      Gamification
      Amazon verpackt öde Arbeit als Spiel

      Wettrennen mit Drachen oder Burgen bauen - statt Turnschuhe, Bücher oder Computerkabel in Kisten einzusortieren: Amazon probiert laut einem Medienbericht in einigen seiner Versandzentren aus, ob die Arbeit mit Spielinhalten weniger langweilig gestaltet werden kann.

    3. Handy-Betriebssystem: KaiOS sichert sich 50 Millionen US-Dollar
      Handy-Betriebssystem
      KaiOS sichert sich 50 Millionen US-Dollar

      Das Betriebssystem für Featurephones KaiOS wächst weiter: Das gleichnamige Unternehmen konnte sich weitere 50 Millionen US-Dollar an Finanzierungsgeldern sichern. Mittlerweile sollen weltweit 100 Millionen Handys mit KaiOS laufen.


    1. 18:46

    2. 18:07

    3. 17:50

    4. 17:35

    5. 17:20

    6. 16:56

    7. 16:43

    8. 16:31