Re: Firewalls und Komplexität
On Thu, 20 May 2004, Florian Weimer wrote:
> * Peter Ross:
>
> > Nun, ich erwaehnte es als _zusaetzlichen_ Puffer zur Aussenwelt. Ohne es
> > verbindest Du die Aussenwelt direkt mit einem Webserver.
>
> Wenn Pound erfolgreich angegriffen wurde, kann der Angreifer die
> Requests zum Webserver mitlesen, die typischerweise auch Paßwörter
> u.ä. enthalten.
Hi Florian,
das kannst Du genauso gut, wenn Du statt pound apache gehackt hast. Mit
dem "Vorteil", dass Du schon eine Machine weiter bist.
Anyway, es mag Dein gutes Recht sein, einem millionenfach im Einsatz
befindlichen Wevserver mehr zu trauen als einem vermutlich eher
tausendfach benutzten Reverse-Proxy, hoffend, dass die weitere Verbreitung
auch haeufigere Sicherheitschecks nach sich gezogen hat. Wobei Verbreitung
und Sicherheit nicht unbedingt propotional voneinander abhaengig sind, wie
so manches Beispoel zeigt.
Das Argument "geschrieben in C" ist kein Nachteil von Pound gegenueber
Apache, der in der gleichen Sprache geschrieben ist, und
Sicherheitsprobleme sind sowohl bei Pound als auch beim Apache
vorgekommen.
Pound hat den Vorteil, nicht die eierlegende Wollmilchsau und daher
ueberschaubarer zu sein. Und ich bin durch einen unverdaulichen Mix vieler
Module, schlecht geschriebenen Anwendungscode und Zeitdruck schon zu laxen
Sicherheitseinstellungen bei von mir administrierten Apachen praktisch
gezwungen gewesen. Dieses Aergernis kommt Gott Sei Dank bei einer
"Datendurchreiche" wie Pound nicht vor.
Anyway, ich bin mir nicht sicher, ob das auf diese Liste gehoert.
Andererseits mag ich nicht meines Erachtens falsche Eindruecke stehen
lassen.
Gruss
Peter
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx