Hallo Forum,

hier ist ein Zitat aus Selfhtml/Linkverzeichnis/CGI und Perl:
".... tritt in der Regel die CGI-Schnittstelle auf den Plan. Das ist eine Einrichtung, die in der Spezifikation zum HTTP-Protokoll verankert ist, und die von allen Web-Server-Produkten unterstützt wird."

Kann mir bitte jemand erklären, warum teils auch große Provider (z.B. T-ONLINE) es ablehnen, "aus Sicherheitsgründen" CGI zu unterstützen? Wenn dadurch beispielsweise ein Counter auf einem anderen Rechner geführt werden muss, wird HTML dadurch ja auch nicht schneller.

Vielleicht denke ich einfach zu harmlos? Auf jeden Fall: Danke für die Auskunft!

Naja, das hat mehere Gründe:

1. CGI verbraucht massig Rechenzeit. Für jeden CGI-Aufruf muß normalerweise ein neuer Prozess erzeugt werden. Es gibt zwar nen paar Alternativen, aber die sind nicht zu weit verbreitet.

2. CGI hat normalerweise sehr weitreichende Zugriffsrechte auf einem Server. Das sieht zwar durch das hinzufügen von ein paar Features wie Changeroot oder speziellen Kerneln etwas anders aus, doch kann meinst ein CGI-Programm die verfügbarkeit eines Server stark beeinträchtigen.

3. CGI-Programm haben oft die Möglichkeit, Konfigurationen von einem Server zu lesen, und können damit Informationen nach außen dringen lassen, die der Administrator lieber für sich behalten würde.

4. CGI-Programme sind meist nicht all zu sicher geschrieben. Gab mal nen schönen Artikel dazu in Phrack oder auf dem letzten CCC-Congress. Damit macht man es Angreifern oft sehr einfach, in einen Rechner einzudringen.

Das sind so die Hauptgründe, wieso viele Provider CGI nicht anbieten. Wer eine Homepage bei seinem Dial-Up-Provider hostet, hat meist noch nicht all zu viel Ahnung von CGI, und kann so einem Angreifer leicht eine Tür öffnen, oder die Verfügbarkeit des Servers beeinträchtigen.