CGIHTTPServer() <-> Sicherheit

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
Benutzeravatar
jens
Moderator
Beiträge: 8458
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

CGIHTTPServer() <-> Sicherheit

Beitragvon jens » Mittwoch 2. Februar 2005, 09:38

Weiß einer genau, was beim CGIHTTPServer() eigentlich alles so unsicher ist???
Benutzeravatar
jens
Moderator
Beiträge: 8458
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Beitragvon jens » Donnerstag 10. Februar 2005, 08:33

Kann dazu niemand etwas sagen???
Benutzeravatar
Leonidas
Administrator
Beiträge: 16023
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Beitragvon Leonidas » Donnerstag 10. Februar 2005, 13:29

Ich kann nur etwas zur Sicherheit vom XMLRPC Server sagen, das andere ist wohl noch nirgendwo eingeschlagen.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Benutzeravatar
jens
Moderator
Beiträge: 8458
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Beitragvon jens » Donnerstag 10. Februar 2005, 14:12

Hmmm.... Also ich hab mal auf der Python.org nach "Security advisory" gesucht und nur diesen einen Eintrag gefunden :?

Entweder ist Python wirklich 1A Programmiert oder niemand macht sich gedanken über Sicherheit oder die "Security advisory" heißen einfach nur ein wenig anders...

Gibt's irgendwo eine Seite über das Thema Sicherheit in Python???
BlackJack

Beitragvon BlackJack » Donnerstag 10. Februar 2005, 17:08

Kannst Du mal erzählen was Du unter "sicher" verstehst? Das jemand eine Bufferoverflow findet und ausnutzten kann ist sehr unwahrscheinlich, aber DOS Attacken sind sicher einfach. Also noch einfacher als sonst.
Benutzeravatar
jens
Moderator
Beiträge: 8458
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Beitragvon jens » Freitag 11. Februar 2005, 07:56

Naja wenn unterm Strich "nur" DOS Attacken übrig bleiben, das wäre ja ehr halb so wild...

Ich hab nun auch wieder gefunden, wo ich eine Warnung gelesen hab. In dem Sourcecode von /Lib/CGIHTTPServer.py selber:

Code: Alles auswählen

SECURITY WARNING: DON'T USE THIS CODE UNLESS YOU ARE INSIDE A FIREWALL
-- it may execute arbitrary Python code or external programs.

s. http://pydoc.org/2.3/CGIHTTPServer.html

Das Python-Code als CGI Ausgeführt wird, ist ja eine gewünschte Funktion ;) Oder ist es irgendwie möglich von extern Python-Code einzuschleusen und somit ein riesen Scheunentor aufzuziehen???

Hinter einer Firewall sitze ich eh...
Milan
User
Beiträge: 1078
Registriert: Mittwoch 16. Oktober 2002, 20:52

Beitragvon Milan » Mittwoch 23. Februar 2005, 14:34

Vielleicht ist auch einfach nur gemeint, dass der Server CGI-Scripte ohne wenn und aber ausführt und damit bei unsicheren Scripte selbst zur Gefahr wird. Ansonsten hätte ich keine Idee dazu, aber ich bin in punkto Sicherheit auch nicht sonderlich bewandert...

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder