1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apache Server Status: Falsch…

Der Apachestatus ist doch überhaupt nicht das Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Der Apachestatus ist doch überhaupt nicht das Problem

    Autor: Husten 02.11.12 - 09:49

    Wenn in Urls Zugangsdaten im Klartext auftauchen oder Adminbereiche nicht Passwortgeschützt sind, DAS sind die Probleme. Aber das der Apache Urls auflistet die angezeigt werden, sollte einem total Wumpe sein.

    Speziell die Sicherheitsmassnahme "unsere Url des Adminbereiches kennt ja keiner" ist sowas von dämlich, der Admin gehört eh vermoppt ;)

  2. Re: Der Apachestatus ist doch überhaupt nicht das Problem

    Autor: fool 02.11.12 - 11:04

    So isses. Alles was in der URL auftaucht = unsicher. Mit oder ohne Status.

  3. Re: Der Apachestatus ist doch überhaupt nicht das Problem

    Autor: lumannnn 02.11.12 - 11:11

    Das stimmt. Nur wird (wenn ich das richtig verstanden habe), dass Ganze in dem Status persistiert. Was natürlich eine Angriffsmöglichkeit mehr bietet.

    Das solche Daten erst gar nicht in die URL gehören, darüber müssen wir uns glaub ich nicht weiter unterhalten. Das sollte jedem Entwickler mittlerweile einleuchten ^^

  4. Ähm... doch ein Problem...

    Autor: Wendel 02.11.12 - 12:31

    Leute, wenn ich doch diese und / oder ähnliche Informationen von einem Server sehe...

    Server Version: Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5
    Server Built: Oct 28 2009 14:31:53

    Mit solchen Infos lässt sich doch viel anstellen, wenn man denn will. Infos zu Schwachstellen, auf die Version einer Komponente bezogen, findet man ja problemlos...

    Naja, vielleicht bin ich auch ein "Security-Paranoider", was ich dann wohl auf meinen Job schieben darf...

  5. Re: Ähm... doch ein Problem...

    Autor: __destruct() 02.11.12 - 13:16

    Wie wäre es damit, einfach selbst im Internet nach Schwachstellen zu suchen und dann, wenn man welche findet, das System zu wechseln? Das grenzt ja schon in das Konzept von Sicherheit durch Geheimhaltung.

  6. Re: Ähm... doch ein Problem...

    Autor: ww 02.11.12 - 13:42

    Wendel schrieb:
    --------------------------------------------------------------------------------
    > Leute, wenn ich doch diese und / oder ähnliche Informationen von einem
    > Server sehe...

    Nee, doch kein Problem.

    mod_status gibts seit über 10 Jahren. Wenn man einen Webserver betreibt, sollte man schon wissen, welche Funktionen er hat und welche man davon aktivieren möchte und welche nicht. Von Profis, die große Websites betreiben würde ich erwarten die Liste der enabled Mods durchzusehen, die Mods zu kennen und nur benötigte zu aktivieren.

    Auf jeder 3. Kiste läuft auch mod-cgi, obwohl es kaum jemand braucht.

    Das Problem sind die Admins, nicht der Apache.



    2 mal bearbeitet, zuletzt am 02.11.12 13:44 durch ww.

  7. Re: Ähm... doch ein Problem...

    Autor: Schattenwerk 02.11.12 - 13:49

    Wendel schrieb:
    --------------------------------------------------------------------------------
    > Leute, wenn ich doch diese und / oder ähnliche Informationen von einem
    > Server sehe...
    >
    > Server Version: Apache/2.2.14 (Unix) mod_ssl/2.2.14
    > OpenSSL/0.9.8e-fips-rhel5
    > Server Built: Oct 28 2009 14:31:53
    >
    > Mit solchen Infos lässt sich doch viel anstellen, wenn man denn will. Infos
    > zu Schwachstellen, auf die Version einer Komponente bezogen, findet man ja
    > problemlos...

    Dafür benötige ich jedoch kein Server-Status. Ich kann einfach bewusst mit die geschickten Header anschauen und das System über Eingaben und bewusste Fehlverhalten identifizieren.

    Fängt schon damit an, dass IIS und Apache unterschiedliche Header-Reihenfolgen schicken. Unterschiedliche Sprachen ebenfalls, dann schaue ich mir noch die laufende Application an und habe schon ähnlich viele Informationen.

    Es erfordert natürlich etwas mehr Mühe und mehr Wissen, jedoch schützt mich das nun nicht, wenn ich sowas abstelle oder ServerStatus offentlich zugängliche habe.

    Das man die Status-Anzeige natürlich öffentlich zugänglich macht, ist natürlich Dummheit der jeweiligen Administratoren.

  8. Re: Ähm... doch ein Problem...

    Autor: Korashen 05.11.12 - 10:44

    Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die Sicherheits-Architektur.
    Ich meine, wenn apache.org selbst die Statusseite nicht blocket und die doch genau wissen, wie man einen apache sauber und sicher konfiguriert (zumindest sollten sie es wissen), dann kann es ja generell nicht so schlimm sein.

    Allerdings finde ich persönlich, wenn man die Seite einfach und schnell blocken kann, wieso dann nicht? Ob die Infos dort wichtig sind oder nicht, seis drum, es gibt keinen Grund, dem ganzen Internet Zugriff darauf zu gewähren. Warum dann also?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SCHMIDT + HAENSCH GmbH & Co., Berlin
  2. Universität Bielefeld, Bielefeld
  3. Müller-BBM Active Sound Technology GmbH, Planegg Raum München
  4. VIVAVIS AG, Koblenz, Ettlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de