CGIHTTPServer() <-> Sicherheit

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
Antworten
Benutzeravatar
jens
Moderator
Beiträge: 8483
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Mittwoch 2. Februar 2005, 09:38

Weiß einer genau, was beim CGIHTTPServer() eigentlich alles so unsicher ist???
Benutzeravatar
jens
Moderator
Beiträge: 8483
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 10. Februar 2005, 08:33

Kann dazu niemand etwas sagen???
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Donnerstag 10. Februar 2005, 13:29

Ich kann nur etwas zur Sicherheit vom XMLRPC Server sagen, das andere ist wohl noch nirgendwo eingeschlagen.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Benutzeravatar
jens
Moderator
Beiträge: 8483
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 10. Februar 2005, 14:12

Hmmm.... Also ich hab mal auf der Python.org nach "Security advisory" gesucht und nur diesen einen Eintrag gefunden :?

Entweder ist Python wirklich 1A Programmiert oder niemand macht sich gedanken über Sicherheit oder die "Security advisory" heißen einfach nur ein wenig anders...

Gibt's irgendwo eine Seite über das Thema Sicherheit in Python???
BlackJack

Donnerstag 10. Februar 2005, 17:08

Kannst Du mal erzählen was Du unter "sicher" verstehst? Das jemand eine Bufferoverflow findet und ausnutzten kann ist sehr unwahrscheinlich, aber DOS Attacken sind sicher einfach. Also noch einfacher als sonst.
Benutzeravatar
jens
Moderator
Beiträge: 8483
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Freitag 11. Februar 2005, 07:56

Naja wenn unterm Strich "nur" DOS Attacken übrig bleiben, das wäre ja ehr halb so wild...

Ich hab nun auch wieder gefunden, wo ich eine Warnung gelesen hab. In dem Sourcecode von /Lib/CGIHTTPServer.py selber:

Code: Alles auswählen

SECURITY WARNING: DON'T USE THIS CODE UNLESS YOU ARE INSIDE A FIREWALL
-- it may execute arbitrary Python code or external programs.
s. http://pydoc.org/2.3/CGIHTTPServer.html

Das Python-Code als CGI Ausgeführt wird, ist ja eine gewünschte Funktion ;) Oder ist es irgendwie möglich von extern Python-Code einzuschleusen und somit ein riesen Scheunentor aufzuziehen???

Hinter einer Firewall sitze ich eh...
Milan
User
Beiträge: 1078
Registriert: Mittwoch 16. Oktober 2002, 20:52

Mittwoch 23. Februar 2005, 14:34

Vielleicht ist auch einfach nur gemeint, dass der Server CGI-Scripte ohne wenn und aber ausführt und damit bei unsicheren Scripte selbst zur Gefahr wird. Ansonsten hätte ich keine Idee dazu, aber ich bin in punkto Sicherheit auch nicht sonderlich bewandert...
Antworten