<<< Date Index >>>     <<< Thread Index >>>

Re: Firewalls und Komplexität



* Peter Ross:

> On Wed, 12 May 2004, Florian Weimer wrote:
>
>> Wenn dann natürlich Leute mit traditionellem PHP-Code herkommen, der
>> tonnenweise Anweisungen der Form
>>
>>    $sql = "SELECT * FROM users WHERE uid=$uid";
>>
>> enthält, haben sie natürlich verloren.
>
> Es gibt Reverse-Proxies, die sich gleichzeitig "Sanitizer" schimpfen und
> die man zwischen Internet und Proxuyserver

Webserver, nehme ich an.

> zwischenschalten kann und meiner Meinung sollte (u.a. auch, um
> z.B. bei einem Exploit, der Dir Zugriff zum Webserver verschafft,
> nicht gleich die Datenbank kontaktiert werden kann)

Microsoft bietet das in Form von URLscan an (wobei es angeblich immer
noch ISAPI-Erweiterungen mit höherer Priorität gibt). I.d.R. kann man
das recht schmerzlos aktivieren. Damit hat man gute Chancen,
langfristig Apache zu schlagen, was das Vorhandensein von tatsächlich
ausnutzenbaren Schwachstellen angeht. 8-) Eine Gewähr ist das
allerdings auch nicht, wie der externe Sanitizer.

(Ich hab' zwar jüngst nicht in den Apache-Code reingeschaut, ob das
Problem gefixt wurde, aber für den Chunked-Encoding-Bug haben sie
einen Fix eingebaut, der beweisbar wirkungslos ist. GCC 4.0 wird die
Wirkungslosigkeit eventuell beweisen können und ihn dann als toten
Code entfernen...)

> Pound z.B. wuerde Dir bei dem oben genannten PHP-Code aushelfen.

Wirklich? Ich habe mir mal Pound 1.7 angeschaut und es hülfe nicht die
Bohne. Für SQL Relay ist etwas, was helfen würde, angekündigt. Mir ist
allerdings nichts bekannt, was ad hoc verfügbar wäre, bezahlbar und
nicht Snake Oil ist.

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.

--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx