[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Firewalls und Komplexität



Florian Weimer:
> * Peter Ross:
> > On Thu, 20 May 2004, Florian Weimer wrote:
> >> * Peter Ross:
> >> > Nun, ich erwaehnte es als _zusaetzlichen_ Puffer zur Aussenwelt.
> >> > Ohne es verbindest Du die Aussenwelt direkt mit einem Webserver.
> >>
> >> Wenn Pound erfolgreich angegriffen wurde, kann der Angreifer die
> >> Requests zum Webserver mitlesen, die typischerweise auch Paßwörter
> >> u.ä. enthalten.
> >
> > das kannst Du genauso gut, wenn Du statt pound apache gehackt
> > hast. Mit dem "Vorteil", dass Du schon eine Machine weiter bist.
>
> Ja, das ist ein Argument, was gerne vorgebracht wird: ein
> Zwiebelmodell, und der Angreifer muß erst mühselig jede Schicht
> abpulen, bevor er etwas (aus seiner Sicht) Vernünftiges anstellen
> kann.

In der Praxis sieht das dann häufig so aus daß $Verantwortlicher für 
Zwiebelschale n sich darauf verlässt daß Schalen 1..n-1 exakt ihre 
Spezifikation erfüllen. Was bei ausreichend vielen Verantwortlichen und 
Schalen dann leicht in Sachen wie "an der Stelle können wir auf IP-Ebene 
identifizieren und authentifizieren da dort niemand usw." mündet.
Das Gesamtsystem ist dann so aufgebläht daß auch niemand mehr die 
Implikationen ohne weiterers überblicken kann.

Dietz

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de