Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Netzwerke (https://www.delphipraxis.net/14-netzwerke/)
-   -   Delphi Wo sind die Sicherheitslücken - ICS HTTP Webserver? (https://www.delphipraxis.net/143139-wo-sind-die-sicherheitsluecken-ics-http-webserver.html)

Grolle 10. Nov 2009 15:40
Wo sind die Sicherheitslücken - ICS HTTP Webserver?
 
Hallo,

ich bin gerade bei einer Anwendung, für die es seeeehr praktisch wäre einen eigenen kleinen Webserver (ICS HTTP) zu schreiben. Dieser soll nur auf einige Anfragen antworten - nix Besonderes. Jetzt die Frage: Ist sowas sicher? Wenn nein, wo genau liegen die Probleme? Ich gehe jetzt mal von dem Szenario aus: Server lauscht auf port XXXX und der Router leitet den werten Surfer auf diesen Port.

Besten Dank für eure Einschätzung ....

sx2008 10. Nov 2009 23:51
Re: Wo sind die Sicherheitslücken - ICS HTTP Webserver?
 
Wenn du die HTTP Anfragen in einen String liest (anstatt einen festen Puffer zu verwenden), dürften Buffer Overruns ausgeschlossen sein.
Ansonsten kann nichts passieren.
Der Server beantwortet die Anfragen ja direkt; er wird wohl nicht die URL in einen Dateinamen wandeln und versuchen diese Datei zu senden (wie das ein "normaler Webserver" tut).

Grolle 11. Nov 2009 08:25
Re: Wo sind die Sicherheitslücken - ICS HTTP Webserver?
 
Hi,
Zitat:
Zitat von sx2008
Der Server beantwortet die Anfragen ja direkt; er wird wohl nicht die URL in einen Dateinamen wandeln und versuchen diese Datei zu senden (wie das ein "normaler Webserver" tut).
also er soll natürlich ein paar Antwortseiten rausgeben und einige Abfragen an eine Datenbank stellen (welche natürlich entsprechend gefiltert werden müssen!).

Viele Grüße ...

franktron 11. Nov 2009 09:32
Re: Wo sind die Sicherheitslücken - ICS HTTP Webserver?
 
Zitat:
Zitat von Grolle
Wo sind die Sicherheitslücken - ICS HTTP Webserver?
Eigentlich nur DU

Wenn du was machst was ein Sicherheitsproblem sein kann.

Assertor 11. Nov 2009 09:57
Re: Wo sind die Sicherheitslücken - ICS HTTP Webserver?
 
Hi,

Zitat:
Zitat von franktron
Zitat:
Zitat von Grolle
Wo sind die Sicherheitslücken - ICS HTTP Webserver?
Eigentlich nur DU

Wenn du was machst was ein Sicherheitsproblem sein kann.
Das würde ich so pauschal nicht unterschreiben. Als Abwandlung des C++ Satzes: Mit Delphi ist es zwar schwieriger sich in den Fuß zu schießen, möglich ist es aber dennoch. Ein bekannteres Beispiel war der Buffer Overflow in Skype mit D7 (US-CERT https://www.kb.cert.org/vuls/id/930345, http://www.skype.com/security/skype-sb-2005-02.html, ausgelöst durch http://qc.embarcadero.com/wc/qcmain....in.aspx?d=4744).

So lange ich selbst nicht jede Zeile der VCL, RTL und aller genutzen Komponenten selbst geprüft habe und die Prüfung auch nicht alles verfügbare Wissen einbezog, kann ich eine solche Aussage nicht treffen. Mir wäre das zu weit gerudert, das würde ich mir nicht zutrauen (auch zeitlich) ;)

Vereinfacht gesagt ist aber prinzipiell gerade o.g. Verwendung von Strings im Vergleich zu anderen Sprachen einfacher und sicherer.

Delphi Anwendungen zu unvorhersagbarem Verhalten zu bringen, gerade bei vorliegen von bekannten Komponentenversionen (und Kenntnis derer Schwächen) ist aber sicherlich möglich. Delphi ist keine Insel.

Zum Thread: Du kannst nur gewissenhaft programmieren - auf alles andere hast Du erstmal keinen Einfluss. Sobald Du Fehlverhalten feststellst oder sogar eine Lücke bekannt wird, wird reagiert. Das ist der (leider) übliche Weg, alles andere wäre zu viel Aufwand und unwirtschaftlich.

Gruß Assertor


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:44 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz