Antwort an „Ryuno-Ki“ verfassen

problematische Seite

Moin Rolf,

Hallo André,

das Offline-Wiki ist für den lokalen Eigenbedarf gedacht und stellt keine für's Rehosting erstellte Instanz von wiki.selfhtml.org dar. Deswegen sind die Ports, auf die der installierte nginx bzw. das PHP FCGI lauscht, auch keine öffentlichen.

Jo. Steht auch so deutlich im Artikel (+ Lizenzhinweise).

Generell hast Du Glück, wenn Du das Wiki mit PHP 7.4 zum Laufen bekommen hast. Die von uns noch verwendete Version ist die erste, die überhaupt PHP 7 unterstützt, weshalb wir sie unter PHP 7.0 betreiben. Ja, ist alt. Ja, ist nicht unterstützt.

Ja, ist mir bewusst :-) Ich habe es hier im Forum aus zwei Gründen veröffentlicht:

  1. Die Angaben im Wiki sind veraltet (Talk-Seiten sollen ja zugunsten des Forums vermieden werden)
  2. Ich mag den Erneuerungswillen unterstützen.

Wenn Du Schwachstellen erkannt hast, die für ein öffentlich gehostetes Wiki relevant sind, kannst Du die gerne an vorstand@selfhtml.org oder projekt@selfhtml.org melden; ich weiß nicht, wie weit Julius da schon in Kontakt mit Dir ist.

Kontakt ist hergestellt. Ich tippe gerade eine Antwort mit mehr Details. Gut, jetzt hab ich auch einen Namen :)

Abklopfen auf Sicherheitslücken ist ja in Deutschland unerwünscht. Da müsste der Vorstand schon wen beauftragen (ich habe keine Zertifizierung in dem Bereich, aber kenne zumindest die üblichen Verdächtigen während der Entwicklung von Web-Anwendungen).

Wenn das aber ähnliche Schwachstellen sind wie die, die Heise im April angesprochen hat (Achtung, Keksflut), dann sind sie für uns irrelevant. Man muss dabei immer sehen:

  • bei wiki.selfhtml.org sind wir der einzige Nutzer der PHP Installation. Integer-Overflows in der php.ini oder Heap-Dataleaks sind Probleme, die eine Inbetriebnahme stören können oder in einer shared installation zu Datenabfluss führen können.
  • das Offline-Wiki ist lokal und nicht öffentlich. Man kann es angreifen, sich dabei aber maximal in den eigenen Fuß schießen. Es sei denn, man repaketiert es, haut Schadcode hinein und bietet es zum Download ab - aber dagegen hilft auch die beste PHP Versionspflege nichts.

Nein, ich hatte an den Weihnachtsbaum auf Docker Hub gedacht.

Ein kritischer Fehler für uns wäre beispielsweise, wenn man durch fabrizierte Uploads oder Webrequests ausführbaren Code auf unseren Server hochladen könnte oder sich zum Wiki-Admin machen könnte.

Hab mich bisher zurückhalten können, mal mit Formularfeldern herumzuspielen (siehe oben, §202c StGB)

Gruß

--
a.k.a. André
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar

Ihre Identität in einem Cookie zu speichern erlaubt es Ihnen, Ihre Beiträge zu editieren. Außerdem müssen Sie dann bei neuen Beiträgen nicht mehr die Felder Name, E-Mail und Homepage ausfüllen.

abbrechen