AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

WebServer

Ein Thema von lucy · begonnen am 26. Okt 2022 · letzter Beitrag vom 27. Okt 2022
Antwort Antwort
Delphi.Narium

Registriert seit: 27. Nov 2017
2.434 Beiträge
 
Delphi 7 Professional
 
#1

AW: WebServer

  Alt 27. Okt 2022, 20:40
Und das Schöne an 'nem eigenen WebServer: Er kann wirklich das und nur das, was man benötigt.
Stimmt.
Ein eigener, selbstgebauter WebServer kann aber dafür auch alle möglichen sicherheitskritischen Probleme haben, je nach Umfang,
denn da testen im Prinzip nur Wenige und nicht Millionen User in Tausenden von Einsatz-Szenarien.
Kann sein dass man das im lokalen Netz akzeptiert, aber im echten Web hätte ich da ziemliche Bauchschmerzen.

Ich glaube man sollte heutzutage nicht alles versuchen selber zu machen, es sei denn man hat das als Hobby.
Ich käme nie auf die Idee, einen WebServer für das weltweite Internet zu bauen.

Es geht hier doch nur darum zu versuchen ob es geht. Zum Lernen, zum Probieren, sicherlich nicht um eine kommerzielle Software zu erstellen, die mit vorhandenen WebServeren auch nur im leisesten Ansatz konkurieren kann.

Hiermit
markieren
Delphi-Quellcode:
sFilename := Format('%s%s',['htdocs',ARequestinfo.Document]);
if not FileExists(sFilename) then sFilename := 'htdocs/index.html';
hat man schonmal keinen Zugriff mehr auf die gesamte Festplatte, sondern nur auf die Dateien, die unter htdocs liegen. Wo das physikalisch liegt, ist von außen nicht erkennbar. Sinnvollerweise macht man das konfigurierbar und sorgt dafür, dass die Rechte entsprechend eingeschränkt sind.

Über ARequestinfo bekommt man auch die IP des Anfragers heraus, hierüber kann man dann auch nochmal die Zugriffe einschränken. Ein eigener WebServer muss nicht auf Port 80 oder 8080 laufen, wie meist üblich bzw. vorgegeben.

Mögliche sicherheitskritische Probleme hat ein eigener WebServer alle die, die man sich auch sonst mit Delphiprogrammen "einfangen" kann, also z. B. auch alle die, die in den Indykomponenten enthalten sein könnten, ... und natürlich alle die, die man selbst einbaut
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
43.201 Beiträge
 
Delphi 12 Athens
 
#2

AW: WebServer

  Alt 27. Okt 2022, 22:25
markieren
Code:
http://1.2.3.4:80/../../../../../../../Windows/System32/TeamViewer_Hooks.log

und mit etwas Glück hab ich deinen "Schutz" schon umgangen.

Genau sowas war der Grund, warum ich bei uns dann die Prüfung umgekehrt hab, weil ich sorum bestimmt auch nicht jede Möglichkeit bedenke und irgendwas vergessen/übersehen hätte.


Gut, mein Webserverchen kommt unter Anderen auch in einer Firma zum Einsatz, die z.B. mit Airbus zusammenarbeitet und deren Regel unterliegt, da sind die Sicherheitsbestimmungen schon bissl böse ... und ich wollte diesbezüglich dann einfach keine keine unnötigen Sicherheitslöcher riskieren.
Garbage Collector ... Delphianer erzeugen keinen Müll, also brauchen sie auch keinen Müllsucher.
my Delphi wish list : BugReports/FeatureRequests
Geändert von himitsu (27. Okt 2022 um 22:41 Uhr)
  Mit Zitat antworten Zitat
Delphi.Narium

Registriert seit: 27. Nov 2017
2.434 Beiträge
 
Delphi 7 Professional
 
#3

AW: WebServer

  Alt 27. Okt 2022, 22:33
Nein, hast Du nicht, haben schon viele gesagt, haben schon viele versucht, sind alle gescheitert.

Auszuliefernde Dateien müssen unterhalb des für den WebServer konfigurierten Rootverzeichnisses liegen.

.. in der Url wird schlicht als ungültig erkannt und verworfen.

zusammenfalten · markieren
Delphi-Quellcode:
// Im realen Leben natürlich konfigurierbar!
const
  csRootverzeichnis = 'c:\HTTPServer\Root';

procedure TForm1.ServerCommandGet(AContext: TIdContext;
  ARequestInfo: TIdHTTPRequestInfo; AResponseInfo: TIdHTTPResponseInfo);
var
  Stream : TFileStream;
  Filename : String;
begin
  Filename := Format('%s%s',[csRootverzeichnis,ARequestinfo.Document]);
  if (Pos('..',sFilename) = 0 then begin
    if not FileExists(sFilename) then Filename := Format('%s\index.html',csRootverzeichnis]);
    Stream := TFileStream.Create(sFilename, fmOpenRead or fmShareDenyWrite);
    // Hier muss man noch den ContentType abhängig vom Dateityp, setzen.
    AResponseinfo.ContentType := 'text/html';
    AResponseinfo.ContentStream := Stream;
    AResponseinfo.ContentLength := Stream.Size;
  end else begin
    // Warum sollte man hier 'nem Hacker antworten?
    // Wenn man 'ne Sperrliste für IPs (ARequestinfo.RemoteIP) implementiert hat, kommt die da rein.
    // Die wird natürlich dann auch am Anfang dieser Prozedur abgefragt ;-)
  end;
end;
Und ja: Einen simplen, anspruchslosen WebServer selbst zu bauen geht und ist einfach.
Den Bau eines Webservers für den professionellen Einsatz sollte man anderen überlassen.

Und wenn man 'nen Webserver selbst baut lernt man recht schnell, welche Fallstricke es in dem Umfeld gibt auf die geachtet werden muss.

Als Hobbyprogrammierer kann ich mir diesen Spass durchaus leisten.

Allerdings käme ich nie auf die Idee "so ein Dingen" für 'nen Kunden zu bauen und dann die ganze Welt darauf zugreifen zu lassen.
Geändert von Delphi.Narium (27. Okt 2022 um 22:49 Uhr) Grund: Text ergänzt
  Mit Zitat antworten Zitat
Antwort Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:04 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz