CGIHTTPServer() <-> Sicherheit

jens · Mittwoch 2. Februar 2005, 09:38

Weiß einer genau, was beim CGIHTTPServer() eigentlich alles so unsicher ist???

jens · Donnerstag 10. Februar 2005, 08:33

Kann dazu niemand etwas sagen???

Leonidas · Donnerstag 10. Februar 2005, 13:29

Ich kann nur etwas zur Sicherheit vom XMLRPC Server sagen, das andere ist wohl noch nirgendwo eingeschlagen.

jens · Donnerstag 10. Februar 2005, 14:12

Hmmm.... Also ich hab mal auf der Python.org nach "Security advisory" gesucht und nur diesen einen Eintrag gefunden

Entweder ist Python wirklich 1A Programmiert oder niemand macht sich gedanken über Sicherheit oder die "Security advisory" heißen einfach nur ein wenig anders...

Gibt's irgendwo eine Seite über das Thema Sicherheit in Python???

BlackJack · Donnerstag 10. Februar 2005, 17:08

Kannst Du mal erzählen was Du unter "sicher" verstehst? Das jemand eine Bufferoverflow findet und ausnutzten kann ist sehr unwahrscheinlich, aber DOS Attacken sind sicher einfach. Also noch einfacher als sonst.

jens · Freitag 11. Februar 2005, 07:56

Naja wenn unterm Strich "nur" DOS Attacken übrig bleiben, das wäre ja ehr halb so wild...

Ich hab nun auch wieder gefunden, wo ich eine Warnung gelesen hab. In dem Sourcecode von /Lib/CGIHTTPServer.py selber:

Code: Alles auswählen

SECURITY WARNING: DON'T USE THIS CODE UNLESS YOU ARE INSIDE A FIREWALL
-- it may execute arbitrary Python code or external programs.

s. http://pydoc.org/2.3/CGIHTTPServer.html

Das Python-Code als CGI Ausgeführt wird, ist ja eine gewünschte Funktion

Oder ist es irgendwie möglich von extern Python-Code einzuschleusen und somit ein riesen Scheunentor aufzuziehen???

Hinter einer Firewall sitze ich eh...

Milan · Mittwoch 23. Februar 2005, 14:34

Vielleicht ist auch einfach nur gemeint, dass der Server CGI-Scripte ohne wenn und aber ausführt und damit bei unsicheren Scripte selbst zur Gefahr wird. Ansonsten hätte ich keine Idee dazu, aber ich bin in punkto Sicherheit auch nicht sonderlich bewandert...