AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi openSSL+ Indy - gibt es Sicherheitsbedenken?

openSSL+ Indy - gibt es Sicherheitsbedenken?

Ein Thema von Gruber_Hans_12345 · begonnen am 2. Feb 2021 · letzter Beitrag vom 4. Feb 2021
Antwort Antwort
Gruber_Hans_12345

Registriert seit: 14. Aug 2004
1.436 Beiträge
 
Delphi 2007 Professional
 
#1

openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 2. Feb 2021, 08:29
Hallo, ich verwende OpenSLL + Indy, bzw OpenSSL + eigenen Webserver.

Die Frage die sich mir nun stellt, gibt es wo Infos wie sicher das ganze nun ist?
Was kann ein Hacker mit den OpenSSL Dll's machen wenn er da irgendwelche Löcher findet?

Mir geht es nur darum das ich einem Kunden sicherstellen muss, das niemand durch diesen Port, in das System kommt.
Wenn der HAcker die EXE abstürzen lässt oder so, das wäre mir "egal", wichtig ist, das er nichts auf das System installieren kann, oder andere Files löschen/verschlüsseln usw kann.
Gruss Hans

2B or not 2B, that is FF
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 2. Feb 2021, 08:36
Kommt auf die Lücke an und auf die Rechte der Anwendung.
Wenn der Angreifer Deine Anwendung übernimmt, hat er die Rechte, die man der Anwendung gibt. Was Deine Anwendung nicht darf, kann dann der Angreifer (direkt) auch nicht Nutzen. Das könnte er nur, wenn er die Lücke nutzen kann um über andere Lücken ( in System-Bestandteilen wie Dlls, Dienste usw.) höhere Rechte zu erlangen.
Markus Kinzler
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.065 Beiträge
 
Delphi 12 Athens
 
#3

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 2. Feb 2021, 10:39
Ist denn auch gesichert das es keinen Man-In-the-Middle Angriff geben kann,
über das Netz und DNS-Abfrage, z.B. ?
OpenSSL ist ja nur EIN Teil des des ganzen Sicherheits-Konzepts.
  Mit Zitat antworten Zitat
tggmx

Registriert seit: 29. Okt 2006
34 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 10:42
Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.
  Mit Zitat antworten Zitat
Bbommel

Registriert seit: 27. Jun 2007
Ort: Köln
655 Beiträge
 
Delphi 12 Athens
 
#5

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 11:27
Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.
Cool, Danke für den Tipp. Das kannte ich noch nicht und habe dadurch gemerkt, dass mein Server noch TLS 1.0/1.1 zulässt, was ja mittlerweile eigentlich eher "bäh" ist. Hab mich dann mal direkt darum gekümmert.

Zur eigentlichen Frage: mir war das mit Indy/OpenSSL etwas zu nervig. Du musst immer im Blick haben, wenn eine neue OpenSSL-Version rauskommt und müsstest dann deine Server manuell aktualisieren. Außerdem ist das reguläre Indy-Release noch immer nicht kompatibel mit neuen OpenSSL-Versionen (auch wenn es Leute gibt, die sich dankenswerterweise darum kümmern). Ich habe mich daher dazu entschieden, einen IIS (unter Windows) bzw. einen Apache (unter Linux) als Reverse-Proxy vor meinen Delphi-Webserver zu hängen. Das heißt, die ganze Kommunikation und damit auch die Verschlüsselung nach außen läuft über IIS/Apache und die werden durch automatische Update aktualisiert, falls es mal Probleme gibt. Der Delphi-Webserver ist direkt von außen nicht erreichbar. Ich habe da zwar der Vollständigkeit halber auch https-Support mit Indy eingebaut, nutze den aber produktiv nicht.
  Mit Zitat antworten Zitat
Gruber_Hans_12345

Registriert seit: 14. Aug 2004
1.436 Beiträge
 
Delphi 2007 Professional
 
#6

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 12:02
Ok danke mal für die ganzen Tipps, werde mir das mit dem SSL Server Test mal anschauen, und die Reverse Proxy klingt auch gut.

Beim Reverse Proxy wird man den Windows IIS nehmen müssen vermute ich? Weil nginx und co auf windows ja nicht wirklich gut sein sollten.
Gruss Hans

2B or not 2B, that is FF
  Mit Zitat antworten Zitat
Bbommel

Registriert seit: 27. Jun 2007
Ort: Köln
655 Beiträge
 
Delphi 12 Athens
 
#7

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 12:17
Ob von Apache oder nginx unter Windows abzuraten ist, weiß ich gar nicht so genau. Bei mir war es eher so, dass auf Windows Server der IIS eh dabei ist und es für mich daher naheliegt, den auch zu benutzen (auch wegen der Updates). Um ihn als Reverse Proxy zu benutzen, muss man sich durch ein paar Anleitungen durchkämpfen, aber eigentlich klappt das ganz gut.

Falls du für dein https dann noch ein Zertifikat brauchst und dir das von Let's encrypt holen willst: ich bin mit win-acme zufrieden - das kümmert sich eigentlich um die ganze Arbeit.
  Mit Zitat antworten Zitat
mytbo

Registriert seit: 8. Jan 2007
472 Beiträge
 
#8

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 20:51
Ich verwende seit einiger Zeit den Caddy Server. Die Konfiguration des Servers ist viel einfach als alles, was ich vorher ausprobiert habe. Die Entwickler setzten auf aktuelle Konzepte und schleppen keine Altlasten mit sich herum. Interessant ist die Möglichkeit, den Server über das Caddyfile zu konfigurieren. Im Caddyfile sind viele Befehle in einfacher Syntax vorhanden. Die Abhängigkeiten zu anderen Einstellungen werden automatisch immer in Richtung Sicherheit aufgelöst. Technisch wird im Hintergrund das Caddyfile in die normale Konfigurationsdatei übersetzt.

Einfaches, aber vollständiges Beispiel für die Caddyfile-Konfiguration eines Reverse Proxy:
Code:
meineDomain.de {
  reverse_proxy localhost:8080
}
Nach dem Start installiert der Server automatisch jeweils ein SSL Zertifikat von Let's Encrypt und ZeroSSL. Auch die Verlängerungen werden automatisch erledigt. Zugriff erfolgt über "https://meineDomain.de" oder "https://www.meineDomain.de". Anfragen über HTTP werden auf HTTPS umgeleitet. Der Server ist nur ein EXE-Datei und lässt sich unter Windows mit "caddy.exe run" starten.

Hier noch ein Artikel über die Leistungsfähigkeit des Server.

Bis bald...
Thomas
  Mit Zitat antworten Zitat
Gruber_Hans_12345

Registriert seit: 14. Aug 2004
1.436 Beiträge
 
Delphi 2007 Professional
 
#9

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 4. Feb 2021, 09:14
ok den caddy werde ich mir mal anschauen, wichtig wäre halt das sich das Teil schnell und einfach upgraden lässt (damits immer am aktuellen stand steht)

Irgendwo im Netz habe ich zumindest zum nginx gefunden das der für Windows nur zum Testen und nicht für Produktiv verwendet werden soll (aus welchen Gründen auch immer)
Gruss Hans

2B or not 2B, that is FF
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:22 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz