Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Die Absicherung von WWW-Servern, auf denen CGI-Skripte laufen, ist allein mit einer Firewall nicht möglich. Angenommen, man würde vor einem WWW-Server eine Firewall installieren, welche alle Ports außer dem Port 80 sperren würde. Da häufig Formulare an ein PERL - Skript Daten aus der HTML Seite übergeben, muß also der Datenstrom zwischen Browser und Server mit Hilfe von z.B. des DELEGATE Filters (welcher auch einige Sicherheitsprobleme hat) gefiltert werden, sodaß alle Befehle, die Informationen an das PERL Skript eines WWW - Servers übergeben (POST/PUT), herausgefiltert werden, oder auf problematische Inhalte hin untersucht werden.
Es ist jedoch äußerst schwierig, festzustellen, welche Parameter für ein CGI-Skript oder einen Server - Dämon eine Gefahr darstellen. Daher ist es sinnvoll, alles zu filtern, was nicht ausdrücklich funktionell erforderlich ist, und von vorne herein den Server so zu konfigurieren, daß ein Angreifer nur minimalen Schaden anrichten kann. Hierzu ist es notwendig, alle Zugriffsrechte auf das Betriebssystem weitestgehend zu begrenzen. Unter UNIX ist dies dank der Modularität und der Unabhängigkeit der Serverdämonen möglich, unter Windows NT hingegen nicht.
Da PERL zu den wichtigsten (neben PHP) serverseitigen Skriptsprachen gehört, hier also eine Art Checkliste für UNIX (unter NT ist diese völlig wertlos !!!). PERL gehört aufgrund des TAINT Mechanismus, der Variablen als verdorben kennzeichnet, zu den sichersten Programmiersprachen überhaupt. Genau deswegen betreiben große Internet Sites alle serverseitigen Funktionen unter PERL (Yahoo, HOTMAIL (gehört zu Microsoft), Siemens, Deutsche Bank, INFOSEEK, LYCOS ...)...
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |