nicht angemeldet
Subdomains - Sicherheit
Hallo ihr!
In der Runde bei uns ist aktuell die Diskussion aufgekommen, wie sicher eine Seite auf einer Subdomain ohne .htaccess ist.
Folgendes Szenario:
Ich leg beim Provider die Subdomain sub.domain.com an mit IP von Webserver. Beim Apache vom Webserver leg ich nen virtuellen Host an und die Seite läuft.
Wie/Wer kommt nun auf diese Seite, ohne die Subdomain zu kennen? Gibts da Bots/Tools oder sowas?!
Danke
lg Daniel
-
Hi,
In der Runde bei uns ist aktuell die Diskussion aufgekommen, wie sicher eine Seite auf einer Subdomain ohne .htaccess ist.
was hat eine Konfigurationsdatei damit zu tun?
Wie/Wer kommt nun auf diese Seite, ohne die Subdomain zu kennen?
Ach, darum geht es. Ganz einfach: Wenn etwas dann unsicher ist, wenn es bekannt wird, ist es *absolut* unsicher, und zwar von Beginn an. Nicht umsonst werden Tests der Sicherheit eines Systems immer mit Insiderwissen durchgeführt, wenn sie irgend eine Aussagekraft haben sollen.
Was das ganze mit einer Konfigurationsdatei zu tun haben soll, ist mir allerdings immer noch nicht klar.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi,
Hallo Cheatah,
was hat eine Konfigurationsdatei damit zu tun?
Man kann ja darin Authentifications-Konfigurationen machen.
Ach, darum geht es. Ganz einfach: Wenn etwas dann unsicher ist, wenn es bekannt wird, ist es *absolut* unsicher, und zwar von Beginn an. Nicht umsonst werden Tests der Sicherheit eines Systems immer mit Insiderwissen durchgeführt, wenn sie irgend eine Aussagekraft haben sollen.
Ja das ist ja soweit ganz klar, mir gehts aber eher um die technische Seite -> Welche Möglichkeiten hab ich als aussenstehender, da drauf zu kommen!?
Cheatah
lg Daniel
-
Hi,
was hat eine Konfigurationsdatei damit zu tun?
Man kann ja darin Authentifications-Konfigurationen machen.das geht in der httpd.conf genauso.
Ja das ist ja soweit ganz klar, mir gehts aber eher um die technische Seite -> Welche Möglichkeiten hab ich als aussenstehender, da drauf zu kommen!?
Du erlangst Kenntnis davon. Der Weg dazu ist egal.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-
-
-
hi,
In der Runde bei uns ist aktuell die Diskussion aufgekommen, wie sicher eine Seite auf einer Subdomain ohne .htaccess ist.
Wie "sicher" ist der Haustürschlüssel unterm Gartenzwerg versteckt, oder das gesamte Ersparte in großen Scheinen in der Keksdose?
Vielleicht "ausreichend", so lange es keiner findet.
Trotzdem kann ich mir eher nicht vorstellen, dass du sowas machst.gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
hi,
Hallo,
Wie "sicher" ist der Haustürschlüssel unterm Gartenzwerg versteckt, oder das gesamte Ersparte in großen Scheinen in der Keksdose?
Vielleicht "ausreichend", so lange es keiner findet.
Trotzdem kann ich mir eher nicht vorstellen, dass du sowas machst.... so lange es keiner findet...
welche Möglichkeiten hat man, es denn zu finden? Das ist nämlich meine Frage.
gruß,
wahsagalg Daniel
-
hi,
welche Möglichkeiten hat man, es denn zu finden? Das ist nämlich meine Frage.
Und welche Antworten haben deine Überlegungen bisher zutage gefördert?
Sie könnte schlicht erraten,
aus Unvorsicht doch weitergeben werden;
bei Einbindung externer Ressourcen (die vielleicht auch nicht von Anfang an geplant war) im Referrer fremder Logs auftauchen,
...gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
hi,
Hallo nochmal,
Und welche Antworten haben deine Überlegungen bisher zutage gefördert?
Sie könnte schlicht erraten,
aus Unvorsicht doch weitergeben werden;
bei Einbindung externer Ressourcen (die vielleicht auch nicht von Anfang an geplant war) im Referrer fremder Logs auftauchen,
...der 3. Punkt kommt der Sache/meiner Frage schon näher. Die ersten beiden sind eh klar, aber solche Möglichkeiten wie im 3. sind eher meine Frage.
gruß,
wahsagalg Daniel
-
Hi,
der 3. Punkt kommt der Sache/meiner Frage schon näher. Die ersten beiden sind eh klar, aber solche Möglichkeiten wie im 3. sind eher meine Frage.
dann hätte ich noch einen für Dich: Falsch gesendete Referer, weil der Browser nicht thread-safe ist, wie es z.B. bei einigen IE-Versionen der Fall ist. Übrigens ist ein Link an unendlich vielen Stellen im Internet hinreichend schnell gesetzt, und ebenso schnell ist er falsch gesetzt, Copy&Paste sei Dank. Wichtigste Regel:
Information ist verfügbar.
Sobald ein Mensch etwas weiß, musst Du dieses Wissen als öffentlich verfügbar betrachten.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi,
der 3. Punkt kommt der Sache/meiner Frage schon näher. Die ersten beiden sind eh klar, aber solche Möglichkeiten wie im 3. sind eher meine Frage.
Punkt 4: Brute-Force - das heisst, Ausprobieren... kann auch ein Bot machen. Ich frage mich auch, wo die ganzen Spammer teilweise E-Mail-Adressen herhaben, die theoretisch nie oeffentlich genutzt wurden...
dann hätte ich noch einen für Dich: Falsch gesendete Referer, weil der Browser nicht thread-safe ist, wie es z.B. bei einigen IE-Versionen der Fall ist. Übrigens ist ein Link an unendlich vielen Stellen im Internet hinreichend schnell gesetzt, und ebenso schnell ist er falsch gesetzt, Copy&Paste sei Dank. Wichtigste Regel:
Information ist verfügbar.
Sobald ein Mensch etwas weiß, musst Du dieses Wissen als öffentlich verfügbar betrachten.
Und etwas, was öffentlich im Web steht (und das ist ja im genannten Szenario mit der Subdomain so) ist (schon per Definition) öffentlich!!!
Frag' die Suchmaschinen... :-)
Nick
--------------------------------------------------
http://www.xilp.eu
XILP Internet Links People
Dein persoenliches privates Netzwerk
aus Freunden, Verwandten, Bekannten und Kollegen.
--------------------------------------------------
-
-
-
-
-