Seite 1 von 1

CGIHTTPServer() <-> Sicherheit

Verfasst: Mittwoch 2. Februar 2005, 09:38
von jens
Weiß einer genau, was beim CGIHTTPServer() eigentlich alles so unsicher ist???

Verfasst: Donnerstag 10. Februar 2005, 08:33
von jens
Kann dazu niemand etwas sagen???

Verfasst: Donnerstag 10. Februar 2005, 13:29
von Leonidas
Ich kann nur etwas zur Sicherheit vom XMLRPC Server sagen, das andere ist wohl noch nirgendwo eingeschlagen.

Verfasst: Donnerstag 10. Februar 2005, 14:12
von jens
Hmmm.... Also ich hab mal auf der Python.org nach "Security advisory" gesucht und nur diesen einen Eintrag gefunden :?

Entweder ist Python wirklich 1A Programmiert oder niemand macht sich gedanken über Sicherheit oder die "Security advisory" heißen einfach nur ein wenig anders...

Gibt's irgendwo eine Seite über das Thema Sicherheit in Python???

Verfasst: Donnerstag 10. Februar 2005, 17:08
von BlackJack
Kannst Du mal erzählen was Du unter "sicher" verstehst? Das jemand eine Bufferoverflow findet und ausnutzten kann ist sehr unwahrscheinlich, aber DOS Attacken sind sicher einfach. Also noch einfacher als sonst.

Verfasst: Freitag 11. Februar 2005, 07:56
von jens
Naja wenn unterm Strich "nur" DOS Attacken übrig bleiben, das wäre ja ehr halb so wild...

Ich hab nun auch wieder gefunden, wo ich eine Warnung gelesen hab. In dem Sourcecode von /Lib/CGIHTTPServer.py selber:

Code: Alles auswählen

SECURITY WARNING: DON'T USE THIS CODE UNLESS YOU ARE INSIDE A FIREWALL
-- it may execute arbitrary Python code or external programs.
s. http://pydoc.org/2.3/CGIHTTPServer.html

Das Python-Code als CGI Ausgeführt wird, ist ja eine gewünschte Funktion ;) Oder ist es irgendwie möglich von extern Python-Code einzuschleusen und somit ein riesen Scheunentor aufzuziehen???

Hinter einer Firewall sitze ich eh...

Verfasst: Mittwoch 23. Februar 2005, 14:34
von Milan
Vielleicht ist auch einfach nur gemeint, dass der Server CGI-Scripte ohne wenn und aber ausführt und damit bei unsicheren Scripte selbst zur Gefahr wird. Ansonsten hätte ich keine Idee dazu, aber ich bin in punkto Sicherheit auch nicht sonderlich bewandert...