Re: Firewalls und Komplexität
* Kristian Köhntopp:
> http://blog.koehntopp.de/archives/306_Firewalls_und_Komplexitaet.html
> [ Was ganz anderes ]
Ich vertrete inzwischen den Ansatz, daß Web-Anwendungen regelmäßig
Firewall-Komponenten darstellen und auch als solche entwickelt werden
müssen. Alles andere bringt nichts.
Wenn dann natürlich Leute mit traditionellem PHP-Code herkommen, der
tonnenweise Anweisungen der Form
$sql = "SELECT * FROM users WHERE uid=$uid";
enthält, haben sie natürlich verloren.
Es ist auch fraglich, ob PHP unbedingt so geeignet ist als
Firewall-Implementierungssprache.
> http://securityfocus.com/bid/keyword/, Suchbegriff "ethereal"
>
> Dies listet eine ganze Reihe von Problemen, bei denen die Anwendung, ein
> Netzwerkmonitor, sich selbst kompromittiert beim Decodieren von
> Netzwerkpaketen, die für ganz andere Systeme bestimmt sind. ethereal hat
> natürlich keine Chance - wann immer ein Protokoll selber einen Exploit hat,
> hat ethereal möglicherweise auch einen. Da alle Protokolle in ethereal
> decodiert werden müssen, hat ethereal jede Menge Exploits.
Protokolle haben keine Exploits, es sind die C-Implementierungen. Und
bei der Masse an Protokollen, die die Sniffer unterstützen müssen,
kann halt nicht in jedem Fall eine saubere Implementierung hingelegt
werden. Warum man das dann ausgerechnet in C implementiert, entzieht
sich meiner Kenntnis, wahrscheinlich ist das ebenfalls Tradition.
Bei Nessus ist das wesentlich besser gelöst.
> [ Bildschirm voll Exploits ]
>
> Wobei ich sagen muß, daß die ethereal, tcpdump und snort-Listen
> meine Lieblinge sind. Wenn ich diese Listen sehe, denke ich über
> gewisse Produkte [http://www.syborg.de/] mit ganz ähnlicher
> Funktionalität nach, und ob deren Exploit-Listen wohl kürzer sein
> mögen. Und wer mag da wohl haften, wenn so eine Kiste kompromittiert
> und dann ausgenutzt wird. Der Netzbetreiber hat die ja nicht
> freiwillig aufgestellt...
Frag' mal die Leute, die eine IVW-Schnüffelbox mit ungepatchtem SSH in
ihrem Netz aufstellen mußten...
--
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx