hi,

wir sind uns also schon mal einig, dass eine von aussen zugängliche konfigurationsdatei des server seiner sicherheit nicht zuträglich wäre, sondern vermutlich eher das gegenteil.

Du schreibst von Online-Testen des Webservers. Wie stelle ich das denn genau an? Komme ich wirklich an all die Informationen wie offene Ports, Server-Version, Inhalt des öffentlich zugänglichen Verzeichnisses (htdocs) etc.? Habe im Moment keine Idee wie ich das anstellen sollte. Wenn z.B. auf dem Server ein CGI-Script abläuft kann ich ja sehr viele Umgebungsvariablen auslesen. Doch habe ich darauf auch Zugriff wenn ich 'von aussen' komme? Eher nicht, oder?

sieh es doch mal so: alles, worauf _du_ von _aussen_ keinen zugriff hast, könnte man als relativ sicher bezeichnen.
_wenn_ du zugriff darauf hättest, wäre es weniger sicher.

also ist es doch im sinne dessen, was du überprüfen möchtest - eben die sicherheit - ein _gutes_ zeichen, wenn du eben _nicht_ von aussen auf gewisse dinge zugreifen kannst.

ein sicherheitsscanner, der darauf basiert, dass er es doch kann, ist also schon vom konzept her fehlerhaft - unsicherheit vorauszusetzen, um die sicherheit überprüfen zu können, ist doch paradox.

gruss,
wahsaga