[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Firewalls und Komplexität

To: Peter Ross <Peter.Ross@alumni.tu-berlin.de>
Subject: Re: Firewalls und Komplexität
From: Florian Weimer <fw@deneb.enyo.de>
Date: Wed, 12 May 2004 21:51:18 +0200
Cc: Kristian Köhntopp <kris@xn--khntopp-90a.de>, debate@lists.fitug.de
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <20040512220517.I850@guckloch.zuhause> (Peter Ross's message of"Wed, 12 May 2004 22:22:09 +1000 (EST)")
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <200405120952.18016.kris@xn--khntopp-90a.de><87oeou5az2.fsf@deneb.enyo.de> <20040512220517.I850@guckloch.zuhause>

* Peter Ross:

> On Wed, 12 May 2004, Florian Weimer wrote:
>
>> Wenn dann natürlich Leute mit traditionellem PHP-Code herkommen, der
>> tonnenweise Anweisungen der Form
>>
>>    $sql = "SELECT * FROM users WHERE uid=$uid";
>>
>> enthält, haben sie natürlich verloren.
>
> Es gibt Reverse-Proxies, die sich gleichzeitig "Sanitizer" schimpfen und
> die man zwischen Internet und Proxuyserver

Webserver, nehme ich an.

> zwischenschalten kann und meiner Meinung sollte (u.a. auch, um
> z.B. bei einem Exploit, der Dir Zugriff zum Webserver verschafft,
> nicht gleich die Datenbank kontaktiert werden kann)

Microsoft bietet das in Form von URLscan an (wobei es angeblich immer
noch ISAPI-Erweiterungen mit höherer Priorität gibt). I.d.R. kann man
das recht schmerzlos aktivieren. Damit hat man gute Chancen,
langfristig Apache zu schlagen, was das Vorhandensein von tatsächlich
ausnutzenbaren Schwachstellen angeht. 8-) Eine Gewähr ist das
allerdings auch nicht, wie der externe Sanitizer.

(Ich hab' zwar jüngst nicht in den Apache-Code reingeschaut, ob das
Problem gefixt wurde, aber für den Chunked-Encoding-Bug haben sie
einen Fix eingebaut, der beweisbar wirkungslos ist. GCC 4.0 wird die
Wirkungslosigkeit eventuell beweisen können und ihn dann als toten
Code entfernen...)

> Pound z.B. wuerde Dir bei dem oben genannten PHP-Code aushelfen.

Wirklich? Ich habe mir mal Pound 1.7 angeschaut und es hülfe nicht die
Bohne. Für SQL Relay ist etwas, was helfen würde, angekündigt. Mir ist
allerdings nichts bekannt, was ad hoc verfügbar wäre, bezahlbar und
nicht Snake Oil ist.

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

Follow-Ups:
- Re: Firewalls und Komplexität
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>

References:
- Firewalls und Komplexität
  - From: Kristian Köhntopp <kris@xn--khntopp-90a.de>
- Re: Firewalls und Komplexität
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: Firewalls und Komplexität
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>

Prev by Date: Re: Firewalls und Komplexit?t
Next by Date: Re: Firewalls und Komplexit?t
Previous by thread: Re: Firewalls und Komplexität
Next by thread: Re: Firewalls und Komplexität
Index(es):
- Date
- Thread