Michael Schröpl: !!! gzip_cnc: Security-Warnung !!!

Beitrag lesen

Hallo Leute,

ich wende mich an diejenigen, die aufgrund der Dis-
kussionen in diesem Forum bzw. durch die Ankündigung über die News des Self-Portals mein Skript "gzip_cnc"
zur Komprimierung statischer Webseiten installert haben.

Es hat leider sich herausgestellt, daß es möglich ist,
auf einer Site, welche gzip_cnc verwendet, Sicherheits-
konzepte des Webservers zu unterlaufen.

Bis zum Schließen der entsprechenden Lücke (wobei ich
im Moment noch nicht weiß, wie ich diese am sinnvoll-
sten schließen kann) empfehle ich daher dringend,

####################################
    ### gzip_cnc nicht zu verwenden. ###
    ####################################

Das mindeste, was gzip_cnc braucht, um unter vertret-
baren Umständen eingesetzt zu werden, ist eine zusätz-
liche Möglichkeit zur Unterscheidung zwischen "lega-
len" und "illegalen" Zugriffen.
Ob es dafür eine rein technische Möglichkeit gibt,
oder ob das Problem durch eine zusätzliche Konfigu-
ration innerhalb von gzip_cnc gelöst werden muß (das
wäre machbar, würde aber vom Anwender entsprechende
Kenntnisse über den Server verlangen und fehleran-
fällig sein), weiß ich im Moment selbst nicht.

Das Problem liegt nicht an einem Programmierfehler,
sondern es geht um das gesamte Konzept von gzip_cnc
und Apache - daher ist beispielsweise Christians Por-
tierung nach C (gzip_cncc) von diesem Effekt genauso
betroffen, und vermutlich auch andere Programme, die
nach demselben Prinzip arbeiten (das muß gar nichts
mit Komprimierung zu tun haben ...).

Traurige Grüße
         Michael

0 43

!!! gzip_cnc: Security-Warnung !!!

Michael Schröpl
  • software
  1. 0
    Christian Kruse
    1. 0
      Mathias Bigge
      1. 0
        Test ... Test ...
        1. 0
          Test ... Test ...
          1. 0
            Test ... Test ...
            1. 0

              RTFM

              Orlando
              • zu diesem forum
    2. 0
      Michael Schröpl
      1. 0
        Christian Seiler
        1. 0
          Michael Schröpl
          1. 0
            Christian Seiler
            1. 0
              Michael Schröpl
  2. 0
    Christoph Zurnieden
    1. 0
      Michael Schröpl
  3. 0

    Frage an die Netzwerk-Spezialisten

    Michael Schröpl
    1. 0
      Christian Seiler
      1. 0

        IPs manipulierbar (Nachtrag)

        Christian Seiler
        1. 0
          Sven Rautenberg
          1. 0
            Henryk Plötz
            1. 0
              Michael Schröpl
  4. 0
    Michael Schröpl
    1. 0

      ... gnlpfts ... gzip_cnc 1.11, code review please

      Michael Schröpl
      1. 0
        Christian Kruse
        1. 0
          Michael Schröpl
          1. 0
            Christian Kruse
            1. 0
              Christian Kruse
              1. 0
                Michael Schröpl
                1. 0
                  Christoph Zurnieden
                  1. 0
                    Michael Schröpl
                    1. 0
                      Christoph Zurnieden
                      1. 0
                        Michael Schröpl
                        1. 0
                          Christoph Zurnieden
                          1. 0
                            Michael Schröpl
                            1. 0
                              Christoph Zurnieden
                    2. 0
                      Kai Lahmann
                      1. 0
                        Michael Schröpl
                        1. 0
                          Kai Lahmann
                          1. 0
                            Michael Schröpl
                  2. 0
                    Christian Kruse
                    1. 0
                      Christoph Zurnieden
                      1. 0
                        Christian Kruse
                        1. 0
                          Christoph Zurnieden
  5. 0
    Michael Schröpl