Webhosting Vertrauenswürdigkeit
Wenn jemand das System kapern kann, gehört der Admin gefeuert.
Ada vielleicht. Möglicherweise noch Eiffel. Einige Programmiersprachen sind wenig anfällig für Overflows, die sind sicher auch ein wenig sicherer.grum.py hat geschrieben:welche Programmiersprache ist denn für besonders sichere Software bekannt?
Nein, möchte ich nicht. Ich möchte lediglich eine etwas angenehmere Diskussionskultur anregen - "LOL PHP IS SCHEISSE" ist eher keine.
Bitte persönliche Animositäten ansonsten auf PN verlagern, danke.
Bitte persönliche Animositäten ansonsten auf PN verlagern, danke.
Manchmal.Sirius3 hat geschrieben:Python ist auch sicher vor Overflows.
-
Sr4l
- User
- Beiträge: 1091
- Registriert: Donnerstag 28. Dezember 2006, 20:02
- Wohnort: Kassel
- Kontaktdaten:
Um mal wieder zum Thema zurück zukommen: Ich vermute es gibt Shared Hoster die gefährlich sind weil das Konzept scheiße ist. Ich denke da an so etwas wie das alle auf dem gleichen Server deine Daten lesen können, weil es zum Beispiel keine vernünftige Benutzer Trennung gibt und du irgendwelche Skripte starten kannst mit Nutzern die dann überall lesen dürfen.
Kennt da jemand Berichte / Zahlen? Untersucht das jemand? Die Software mag aktuell und gepatcht sein, aber das heißt ja nicht das man mit Fehlkonfiguration viel kaputt machen könnte.
Kennt da jemand Berichte / Zahlen? Untersucht das jemand? Die Software mag aktuell und gepatcht sein, aber das heißt ja nicht das man mit Fehlkonfiguration viel kaputt machen könnte.
-
BlackJack
@grum.py: Nicht manchmal sondern nahezu immer. Das führte dazu das auch mal ein Sicherheitsupdate für Python fällig wurde. Das kommt tatsächlich alle paar Jahre mal vor weil C keine so besonders ”sichere” Sprache ist. Trotzdem schaffen die Python-Kernentwickler es, dass nicht alle naselang Sicherheitsupdates fällig sind, wie das bei PHP der Fall ist. Alle paar Jahre und ein paar mal pro Jahr ist schon ein signifikanter Unterschied. Du hast natürlich recht das da letztendlich Programmierer Schuld sind, das die Sprache dann mittelbar Schuld ist. Die PHP-Entwickler haben offenbar deutlich grössere Schwierigkeiten als andere Sprachentwickler eine sichere Sprache zu entwickeln. Und natürlich ist es dann die Schuld des Programmierers der PHP einsetzt. Wenn man das so betrachtet, ist PHP zwar total ungeeignet für alles, aber auch total unschuldig. 
Abwärtskompatibilität ist das Problem. Wenn man bedenkt, dass mysql_ erst seit 2016 nicht mehr Teil von PHP ist, wird einem ganz anders. Diese Probleme hat Python zweifelsohne nicht. Freu' mich schon auf Python 4.BlackJack hat geschrieben:Die PHP-Entwickler haben offenbar deutlich grössere Schwierigkeiten als andere Sprachentwickler eine sichere Sprache zu entwickeln.
-
BlackJack
@grum.py: Das ist keine ausreichende Erklärung, denn andere Sprachen haben diese Probleme offensichtlich nicht. Das Problem ist nicht die Abwärtskompatibilität, sondern die Abwärtskompatibilität einer schlecht entworfenen und offenbar auch schlecht gepflegten Implementierung. In Verbindung mit sehr vielen schlechten Programmierern die eine Sprache mit Ad-Hoc-Lösungen für Ad-Hoc-Lösungen und zusammenkopierte Programme verwenden, nach dem Motto, „aber es funktioniert doch“, ohne es tatsächlich zu verstehen oder sich überhaupt näher damit auseinander setzen zu wollen. Also in die Richtung in die Python sich jetzt durch den Raspi bewegt. Ich schaue mal was ich statt Python 4 verwenden kann, denn da scheint der inoffizielle Codename „Java“ zu sein.
Ad-hoc-Lösungen und zusammenkopierte Programme sind aber unter Python auch nicht unüblich und "dank" pip auch eher Regel als Ausnahme. :K
Ich benutze Python tatsächlich nur noch für Prototyping, meine Begeisterung fand bei den syntaktischen Problemen schnell ein Ende. Ich mag das Ökosystem, es gibt ein paar wirklich feine Pythonprogramme, aber eine Nische, wo es besser als andere Sprachen reinpasst, sehe ich irgendwie nicht.
Der RPi und dessen Fokus auf Python ist beängstigend, in der Tat. Andererseits ist Python ja dort auch nur eine von mehreren Sprachen.
Ich benutze Python tatsächlich nur noch für Prototyping, meine Begeisterung fand bei den syntaktischen Problemen schnell ein Ende. Ich mag das Ökosystem, es gibt ein paar wirklich feine Pythonprogramme, aber eine Nische, wo es besser als andere Sprachen reinpasst, sehe ich irgendwie nicht.
Der RPi und dessen Fokus auf Python ist beängstigend, in der Tat. Andererseits ist Python ja dort auch nur eine von mehreren Sprachen.
Die Wolken am Horizont.snafu hat geschrieben:Python 4? Hab ich irgendwas verpasst?
-
BlackJack
@grum.py: Mit pip kann man keine Programme zusammenkopieren. Da kommt jetzt wieder Deine komische Ansicht das man ja keine Bibliotheken benutzen soll ins Spiel. Hatte ich fast schon wieder vergessen, das Du von Softwareentwicklung keine Ahnung hast. 
Ich meine tatsächlich Quelltexte die aus mehreren Quellen zusammen kopiert werden. In die gleiche Quelltextdatei, von Leuten die keine Ahnung haben, mit Überresten die nichts mit der Lösung zu tun haben, aber immer wieder mitkopiert oder gar von Hand dazu geschrieben werden wenn etwas nicht funktioniert, weil es ja irgendwo anders mal stand und vielleicht auf magische Weise hilft. Also das was viele PHP-”Programmierer” praktizieren.
@snafu: Ich weiss natürlich nicht in welche Richtung Python 4 geht, aber wenn man den Trend zu statischer Typisierung in Python 3 sieht, liegt der Codename „Java“ für Python 4 nahe.
Ich meine tatsächlich Quelltexte die aus mehreren Quellen zusammen kopiert werden. In die gleiche Quelltextdatei, von Leuten die keine Ahnung haben, mit Überresten die nichts mit der Lösung zu tun haben, aber immer wieder mitkopiert oder gar von Hand dazu geschrieben werden wenn etwas nicht funktioniert, weil es ja irgendwo anders mal stand und vielleicht auf magische Weise hilft. Also das was viele PHP-”Programmierer” praktizieren.@snafu: Ich weiss natürlich nicht in welche Richtung Python 4 geht, aber wenn man den Trend zu statischer Typisierung in Python 3 sieht, liegt der Codename „Java“ für Python 4 nahe.
Ist richtig. Bzw. anders: Man sollte schon eine verdammt gute Ausrede haben, wenn man irgendwas anderes als die Standardbibliotheken nutzen will. In anständigen Sprachen reichen die ja auch (und theoretisch sogar in Python).BlackJack hat geschrieben:Mit pip kann man keine Programme zusammenkopieren. Da kommt jetzt wieder Deine komische Ansicht das man ja keine Bibliotheken benutzen soll ins Spiel.
"Hallo zusammen, ich habe eine kleines Programm zusammenkopiert und..."BlackJack hat geschrieben:Ich meine tatsächlich Quelltexte die aus mehreren Quellen zusammen kopiert werden. (...) Also das was viele PHP-”Programmierer” praktizieren.
Böse PHP-Programmierer.
@grum.py: Was hat der Verlinkte Beitrag mit PHP zu tun, außer dass das Forum anscheinend kein Code-Highlighting für Python hat und man deshalb PHP nehmen muß. Es ist auch erschreckend, wie da zwei im Nebel herumstochern, obwohl einer von beiden ja angeblich eine "Legende" ist.
-
DeaD_EyE
- User
- Beiträge: 1021
- Registriert: Sonntag 19. September 2010, 13:45
- Wohnort: Hagen
- Kontaktdaten:
Hier geht es noch um das eigentliche Thema oder?
Ich vermische mal zwei Themen. Datensicherheit und Angreifbarkeit und Module.
Datensicherheit
=============
Vertraulich ist es nur, wenn man die Inhalte auf dem Server verschlüsselt ablegt, Kundendaten sichert und sich selbst um die komplette Administration kümmert. Es gab schon Fälle, wo ein Kunde mit einem fremden Server das RZ verlassen hat. Selbst das kann passieren!
Verlässt man sich auf Dienstleister, ist man wieder am Anfang. Wer kann sicherstellen, dass niemals Daten entwendet werden? Niemand kann das zu 100% sicher sagen. Vom Gefühl her kann ich sagen, dass Hetzner sich bisher ganz gut geschlagen hat. Es geht auch unter anderem darum, wie mit Datenlecks umgegangen wird und ob die Kunden auch informiert werden.
Angreifbarkeit
============
Wer weiß welcher Exploit morgen wieder im Netz rumgeistert. Das Internet ist gefährlich und das weiß man, wenn man einen eigenen Server hat. Ich nenne die Brute-Force-Attacken auf SSH das natürliche Hintergrundrauschen des Internets. Möchte man die Sicherheit erhöhen und die Angreifbarkeit reduzieren, kann man Cloudflare davor schalten. Cloudflare ist sowas wie ein intelligenter reverse Proxy gegen dDoS und andere Angriffe. Die Daten werden dann durch den Provider teils gefiltert, Angriffe werden abgewehrt soweit es geht. Caching findet auch statt. Transportverschlüsselung lässt sich auch kostenlos nutzen. Die Transportverschlüsselung kann auch zwischen Cloudflare und dem Webserver stattfinden.
Was man bei Cloudflare beachten muss:
===========
Was die Nutzung der Bibliotheken angeht, bestimme ich selbst was auf dem Server ist und was nicht. Ich lasse mir da von anderen auch gar nicht reinreden, schließlich hoste ich das selbst und nicht die anderen. Auf die Abhängigkeiten achten eher die Entwickler der Bibliotheken. Beim shared hosting kann ich mir vorstellen, dass man Kompromisse eingehen wird.
Ich vermische mal zwei Themen. Datensicherheit und Angreifbarkeit und Module.
Datensicherheit
=============
Vertraulich ist es nur, wenn man die Inhalte auf dem Server verschlüsselt ablegt, Kundendaten sichert und sich selbst um die komplette Administration kümmert. Es gab schon Fälle, wo ein Kunde mit einem fremden Server das RZ verlassen hat. Selbst das kann passieren!
Verlässt man sich auf Dienstleister, ist man wieder am Anfang. Wer kann sicherstellen, dass niemals Daten entwendet werden? Niemand kann das zu 100% sicher sagen. Vom Gefühl her kann ich sagen, dass Hetzner sich bisher ganz gut geschlagen hat. Es geht auch unter anderem darum, wie mit Datenlecks umgegangen wird und ob die Kunden auch informiert werden.
Angreifbarkeit
============
Wer weiß welcher Exploit morgen wieder im Netz rumgeistert. Das Internet ist gefährlich und das weiß man, wenn man einen eigenen Server hat. Ich nenne die Brute-Force-Attacken auf SSH das natürliche Hintergrundrauschen des Internets. Möchte man die Sicherheit erhöhen und die Angreifbarkeit reduzieren, kann man Cloudflare davor schalten. Cloudflare ist sowas wie ein intelligenter reverse Proxy gegen dDoS und andere Angriffe. Die Daten werden dann durch den Provider teils gefiltert, Angriffe werden abgewehrt soweit es geht. Caching findet auch statt. Transportverschlüsselung lässt sich auch kostenlos nutzen. Die Transportverschlüsselung kann auch zwischen Cloudflare und dem Webserver stattfinden.
Was man bei Cloudflare beachten muss:
- kein MX-Eintrag, der die IP des Webservers verrät (hier muss ein externer Server verwendet werden)
- niemals zulassen, dass der Webserver durch Zufall seine eigene IP verrät. Das kann z.B. durch den PHP-Mailer geschehen (btw. Exploit)
- Firewall: Alle Ports schließen, Port 22 für SSH freigeben, Port 21 für FTP, Port 80 und 443 nur für die Cloudflare-Server.
===========
Was die Nutzung der Bibliotheken angeht, bestimme ich selbst was auf dem Server ist und was nicht. Ich lasse mir da von anderen auch gar nicht reinreden, schließlich hoste ich das selbst und nicht die anderen. Auf die Abhängigkeiten achten eher die Entwickler der Bibliotheken. Beim shared hosting kann ich mir vorstellen, dass man Kompromisse eingehen wird.
sourceserver.info - sourceserver.info/wiki/ - ausgestorbener Support für HL2-Server
Nichts, das ist es ja gerade. Was ich sagen wollte: Zusammenkopieren kannste in jeder Sprache ziemlich einfach (außer Brainfuck und WhitespaceSirius3 hat geschrieben:Was hat der Verlinkte Beitrag mit PHP zu tun
). Wenn du dann nicht verstehst, was du da kopierst, hilft dir auch keine Syntaxverkrüppelung mehr weiter. Meines Wissens sperrt Cloudflare gern mal Tornutzer aus und zwingt somit Besucher dazu, weniger sicher im Web unterwegs zu sein. :KDeaD_EyE hat geschrieben:Möchte man die Sicherheit erhöhen und die Angreifbarkeit reduzieren, kann man Cloudflare davor schalten.
-
BlackJack
@grum.py: Juhuu, nur weil man in jeder Sprache schlechten Code schreiben kann muss PHP gut sein. *Das* ist natürlich ein schlüssiges Argument.