4. Was ist sicherer

Was ist sicherer

  • ?

    Wenn man nur ein paar HTML Seiten auf einem Server bereitstellen will, ist dann ein einfacher selber geschriebener HTTP Server sicherer oder etwas fertiges wie Apache?

    0
  • C

    Dieser Thread wurde von Moderator/in rüdiger aus dem Forum Rund um die Programmierung in das Forum Webzeugs verschoben.

    Im Zweifelsfall bitte auch folgende Hinweise beachten:
    C/C++ Forum :: FAQ - Sonstiges :: Wohin mit meiner Frage?

    Dieses Posting wurde automatisch erzeugt.

    0
  • N

    Wieso sollte ein eigener HTTP-Server sicherer sein als einer, der jahrelang und millionenfach getestet wurde?
    Du hättest zwar einen Unbekanntheitsvorteil auf deiner Seite, aber mit etwas Pech und Unerfahrenheit funktioniert bei dir zufällig ein Exploit, der bei Apache & Co. auch mal funktioniert hat.

    0
  • ?

    Nanyuki schrieb:

    Wieso sollte ein eigener HTTP-Server sicherer sein als einer, der jahrelang und millionenfach getestet wurde?

    Bei den unmengen an Konfigurationsmöglichkeiten die so ein Apache Server hat, besteht da nicht die Gefahr, dass man irgendwas nicht richtig einstellt und dann irgendwas offen läßt?

    0
  • T

    Wenn Du einen eigenen Webserver schreibst, ist die Wahrscheinlichkeit sehr hoch, dass Du etwas falsch machst. Ein standardmässig installierter Webserver ist mit grosser Wahrscheinlichkeit sicherer, als was selbst geschriebenes. Wenn Du natürlich anfängst, einen apache beispielsweise richtig zu konfigurieren, solltest Du genau wissen was Du tust.

    0
  • U

    Der Webserver ist hier nicht relevant. Für ein paar HTML kannst du auch was selbst machen. Wichtig ist da die Serverkofig und da meine ich nicht die Webserverkonfig.
    Solltest DU aber PHP etc. verwenden dann lieber etwas fertiges.

    0
  • T

    Unix-Tom schrieb:

    Der Webserver ist hier nicht relevant. Für ein paar HTML kannst du auch was selbst machen. Wichtig ist da die Serverkofig und da meine ich nicht die Webserverkonfig.
    Solltest DU aber PHP etc. verwenden dann lieber etwas fertiges.

    Selbst wenn man einen Webserver nur für ein paar statische HTML Seiten macht, kann man doch noch genug falsch machen. Wenn Du beispielsweise die URL als Dateiname verwendest und nur das DirectoryRoot voran stellt, hast Du ohne weitere Prüfung eine Sicherheitslücke gebaut. Sei DirectoryRoot beispielsweise /var/www und der Angreifer ruft die Seite http://meinserver/../../etc/passwd, wird er möglicherweise die Datei /var/www/../../etc/passwd oder kurz /etc/passwd zu Gesicht bekommen. Ich gehe mal davon aus, dass das in der Regel nicht beabsichtigt ist.

    Also: nimm lieber eine Webserver von der Stange. Gerade bei einfachen Seiten.

    0
  • N

    tntnet schrieb:

    Wenn Du beispielsweise die URL als Dateiname verwendest und nur das DirectoryRoot voran stellt, hast Du ohne weitere Prüfung eine Sicherheitslücke gebaut. Sei DirectoryRoot beispielsweise /var/www und der Angreifer ruft die Seite http://meinserver/../../etc/passwd, wird er möglicherweise die Datei /var/www/../../etc/passwd oder kurz /etc/passwd zu Gesicht bekommen.

    Wenn der Fehler gemacht wird, läuft der Server vmtl. auch noch mit Root-Rechten und es ist auch /etc/shadow lesbar.

    Also: nimm lieber eine Webserver von der Stange. Gerade bei einfachen Seiten.

    Ack. Wobei es für einfache Seiten auch ein schlankerer Webserver als Apache tut. lighttpd oder nginx oder thttpd zB, je nach Anwendungszweck.

    0
Anmelden zum Antworten