Hallo Leute,
ich habe eine Frage an die Spezialisten von der
Netzwerk-Front - insbesondere diejenigen, die sich
mit TCP/IP auskennen.
Ist es möglich, daß ein ankommender HTTP-Request dem
Apache eine willkürliche IP-Adresse vorgaukelt und
trotzdem irgendwie an eine Antwort kommt?
Das Problem besteht letzten Endes darin, daß
gzip_cnc.pl eben nicht _nur_ via Handler-Einbindung,
sondern _auch_ durch direkte URL-Adressierung
aufgerufen werden kann (und sich in beiden Fällen
derzeit etwas zu gleich verhält - ich habe inzwischen
einen Prototyp 1.11, der PATH_INFO mit REDIRECT_URL
vergleicht und 'böse' Zugriffe ablehnt, aber der
ist noch arg wenig getestet ... noch nicht mal auf
meiner eigenen Domain ... bis ich wieder einen
Download anbieten kann, werden wohl noch ein paar
Tage ins Land gehen, die Dokumentation will ja auch
angepaßt werden, und da gibt es einiges zu schreiben).
_Wenn_ es nämlich nicht möglich ist, die IP-Adresse
des Servers, auf welchem gzip_cnc installiert ist,
bei Zugriffen 'von außen' zu fälschen, dann läßt
sich der direkte URL-Zugriff auf das Skript zunageln:
(.htaccess im Installationsverzeichnis des Skripts)
<FilesMatch gzip_cnc.pl>
order deny,allow
deny from all
allow from meine.eigene.ip.adresse
</FilesMatch>
Die Handler-Einbettung erfolgt durch HTTP-Zugriffe
des Servers selbst - den stört dieser Schutz also
nicht ... die Methode hätte den Vorteil, daß sie ohne
Änderung von des gzip_cnc-Code auskommt und von jedem
Anwender sofort umgesetzt werden könnte.
Natürlich wäre es auch nicht verkehrt,
- dem Skript einen beliebigen eigenen Namen zu geben,
- den Selbsttest-Modus abzuschalten und
- das Senden eigener HTTP-Header abzuschalten
um einem potentiellen Angreifer den Weg nicht unnötig
einfach zu machen - das wohl ist der transparenteste
Betriebs-Modus, den gzip_cnc anbietet ... allerdings
ist security by obscurity nie wirklich eine tragfähige
Lösung ...
Viele Grüße
Michael