Zugriffsrecht und Sicherheit (Perl/CGI)

[thread]13435[/thread]

Zugriffsrecht und Sicherheit

Leser: 20

Articles: hide open all | hide show old branches

+21 replies
meier19

2009-04-26 10:53
User since
2009-02-03
73 Artikel
BenutzerIn
Unter example.org sind (waren) ausschliesslich vier Dateien.

index.cgi
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

#!/usr/bin/perl -T use strict; use warnings; use CGI qw(header); use CGI::Carp qw(fatalsToBrowser warningsToBrowser); print header(); warningsToBrowser(1); # index.cgi # Das Zugriffsrecht lautet 701. # Die Datei kann somit vom Besitzer gelesen # und beschrieben sowie von jedermann ausgefuehrt werden. use lib("."); use Modul; Modul -> new("datei");
Modul.pm
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

package Modul; use strict; use warnings; return 1; # Modul.pm: # Das Zugriffsrecht lautet 700. # Die Datei kann somit ausschliesslich # vom Besitzer gelesen, beschrieben und # ausgefuehrt werden. sub new { shift; my $datei = shift; open(A, $datei) or die $!; while(<A>) { print $_; } close(A) or die; }
datei
Code: (dl )

1 2 3 4 5 6 7

datei: Das Zugriffsrecht lautet 600. Die Datei kann somit ausschliesslich vom Besitzer gelesen und beschrieben sowie von niemandem ausgefuehrt werden.
Name und Inhalt der vierten Datei sind geheim. Lässt sich das Geheimnis von einem begabten Hacker lüften?

Ergänzung:
Ich gebe hier den Namen der vierten Datei bekannt. Er lautet "irgend1ein2name3". Geheim ist damit nur noch der Inhalt dieser Datei. Kann er in Kenntnis von allem, was in diesem Beitrag steht, festgestellt werden?

Zweite Ergänzung: ich habe die Adresse anonymisiert. Denn man hat darauf aufmerksam gemacht, dass meine Frage unzulässig sein könnte. Und alle vier Dateien sind gelöscht.

----
Modedit Gwendragon: Domain auf Testdomain geändert.

Bitte keien existenten Domains als Beispiel!
----
Last edited: 2009-04-27 10:49:29 +0200 (CEST)
Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
- +2 replies
- GwenDragon
  
  2009-04-26 10:59
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  So ganz ist mir nicht klar was du möschtest.
  Niemadn kann dir hier die dritte Datei herbeizaubern.
  
  Unsere Glaskugel versagt da.
  
  Aber …
  
  In Modul.pm ist Zeile 4 wohl die falsche Stelle.
  
  Ansonsten sollte das CGI doch wohl eher mit den Rechten des Webservers oder im Falle von suexec mit den Rechten des Besitzers des Webverzeichnisses laufen.
  
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - meier19
    
    2009-04-26 11:07
    
    User since
    2009-02-03
    73 Artikel
    BenutzerIn
    
    Was ich möchte: dass die Datei auch von einem versierten Hacker nicht herbeigezaubert werden kann. Lautet deine Antwort also definitiv "nein"?
    
    Üblich ist, das "return 1;" am Ende eines Moduls aufzuführen. Es funktioniert aber offenbar auch so.
    
    Zu den Rechten: weshalb sollte ich mehr Rechte einräumen als notwendig?
    
    Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
- +11 replies
- neniro
  
  2009-04-26 11:07
  
  User since
  2008-12-14
  79 Artikel
  BenutzerIn
  
  Der Webserver soll ja das CGI ausführen, was er wohl durch +x kann, aber das Skript kann das Modul nicht laden wenn es nicht im selben Nutzerkontext wie der Webserver läuft. Insgesamt ist es wahrscheinlich einfach sehr viel klüger Modul und Datei außerhalb des Zugriffs des Webservers unterzubringen.
  -- yet another amateur perl hacker
  - +10 replies
  - meier19
    
    2009-04-26 11:18
    
    User since
    2009-02-03
    73 Artikel
    BenutzerIn
    
    Meine Frage zielt nicht darauf, was vielleicht klüger wäre. Es geht mir einzig und allein darum, ob jemand den Namen und/oder den Inhalt der Datei feststellen kann. Also ob die Datei genügend gegen Zugriffe von aussen gesichert ist.
    
    Ich muss vielleicht doch näher erklären, weshalb ich die Frage stelle. Eigentlich hätte ich allein die vierte Datei auf den Server stellen und fragen können, ob sie jemand zu knacken in der Lage ist. Wenn ich die weitern drei Dateien aufgeführt habe, so geht es mir darum, ob ein Hacker mit der Kenntnis dieser drei Dateien weiter käme als ohne solche Kenntnis. Denn im Programm, an dem ich arbeite, kommen neben der geheimen Datei auch die drei andern Dateien vor. Und ich möchte noch die Frage hinzufügen, ob ein Hacker den Inhalt der Datei feststellen könnte, wenn er ihren Namen kennen würde.
    Last edited: 2009-04-26 11:29:50 +0200 (CEST)
    Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
    - +2 replies
    - GwenDragon
      
      2009-04-26 11:47
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Wenn du so unklug bist, in deinen Programmen die Warnungen an den Browser auszugeben, dann hast du deine erste Sicherheitslücke.
      
      Wenn du dann noch Daten von außen einliest ohne sie zu prüfen, und dann an ein Modul weiter gibst, welches mit diesen Parametern Dateien öffnest, hast du eine zweite Sicherheitslücke.
      
      Wenn du deine geheimen Daten innerhalb des Documentroots speicherst die dritte.
      
      Ansonsten ist deine Frage so nicht so einfach zu beantworten.
      Mit so wenig Informationen wird eher niemand eine Analyse bezüglich Verwundbarkeiten deiner Skripte machen.
      
      Lies bitte mal:
      perldoc perlsec
      http://www.w3.org/Security/faq/www-security-faq.ht...
      http://www.cgisecurity.com/security-questions.html
      http://www.cgisecurity.com/apache-security.html
      http://www.cgisecurity.com/pentest.html
      http://www.honeynet.org/papers/webapp/
      http://advosys.ca/papers/web/61-web-security.html
      http://www.jnthn.net/papers/2005-yapc-eu-security-...
      http://www.ibm.com/developerworks/library/l-sp2.ht...
      http://www.perlcode.org/tutorials/perl/secure.pod
      
      Last edited: 2009-04-26 11:51:24 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - meier19
        
        2009-04-26 12:46
        
        User since
        2009-02-03
        73 Artikel
        BenutzerIn
        
        Vielen Dank für die Antwort.
        
        Die erste Sicherheitslücke habe ich behoben, indem ich in "index.cgi" die Zeile "use CGI::Carp qw(fatalsToBrowser warningsToBrowser);" und in "Modul.pm" die Zeile "use warnings;" sowie die Variable "$!" herausgenommen habe. Diese Zeilen sind zwar in der Arbeit an den Skripts dienlich, jedoch im Gebrauch nicht notwendig.
        
        Zur zweiten Sicherheitslücke: die eingelesenen Daten - also die Datei "datei" - stammen nicht von aussen, sondern vom eigenen Serverplatz. Oder ist mit "von aussen" genau dies gemeint? Wo her sollen die Daten denn sonst eingelesen werden?
        
        Zur Prüfung von Daten: bei den Daten handelt es sich um Html-Daten. Was darin vorkommt, lässt sich nicht vorhersagen. Ich wüsste daher nicht, wie ich den Inhalt prüfen sollte. Vielleicht gibt es bestimmte Zeichen, die man ausschliessen sollte. Aber um eine solche Prüfung einzurichten, müsste ich zuerst wissen, welche Zeichen gefährlich sind und in Html-Dateien auf jeden Fall nicht vorkommen.
        
        Zum Speichern der Daten ausserhalb des Document-Root: ich werde probieren, ob ich dort Daten speichern kann und ob mit einem Perl-Skript auch darauf gegriffen werden kann.
        
        Zur Menge der Informationen für eine "Analyse bezüglich Verwundbarkeit ... [der] Skript" muss ich sagen, dass ich, wenn ich recht sehe, alle mir zur Verfügung stehenden Informationen gegeben habe. Oder an welche weitern Informationen oder welche Art von Informationen denkt man denn?
        
        Die Inhalte der angegebenen Links werde ich gern studieren.
        Last edited: 2009-04-26 13:13:55 +0200 (CEST)
        Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
    - +5 replies
    - scriptor
      
      2009-04-26 11:53
      
      User since
      2008-05-07
      69 Artikel
      BenutzerIn
      
      Du sprichst von vier Dateien, hast aber nur drei präsentiert!
      
      Der Server sollte so konfiguriert sein, dass er im cgi-bin Verzeichnis nur ausführbare Dateien startet.
      
      Der Server hat auf Dateiebene bestimmte Rechte. Ein Besucher kann nur indirekt über den Webserver zugreifen, hat also die "gleichen" Rechte wie der Webserver.
      
      Was Hacker noch hinkriegen, weiß ich leider nicht.
      - +3 replies
      - meier19
        
        2009-04-26 12:19
        
        User since
        2009-02-03
        73 Artikel
        BenutzerIn
        
        Hier hatte ich versehentlich etwas für eine andere Stelle gedachtes eingegeben. Kann offenbar nicht ganz gelöscht werden.
        Last edited: 2009-04-26 12:47:30 +0200 (CEST)
        Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
        
        +2 replies
        
        pq
        
        2009-04-26 13:03
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2009-04-26T10:19:54 meier19
        Hier hatte ich versehentlich etwas für eine andere Stelle gedachtes eingegeben. Kann offenbar nicht ganz gelöscht werden.
        
        eigene artikel löschen können halte ich für keine gute idee.
        aber es wird bald eine funktion geben, mit der du einen artikel den moderatoren zum verschieben vorschlagen kannst.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        meier19
        
        2009-04-26 20:36
        
        User since
        2009-02-03
        73 Artikel
        BenutzerIn
        
        Damit bin ich vollkommen einverstanden. Es wäre sogar vertretbar, Änderungen überhaupt nicht zuzulassen, sondern nur Ergänzungen. Aber dies würde wohl die Arbeit der Moderatoren übermässig belasten, indem notwendige Änderungen (auch von versehentlichen Fehlern) über sie vorgenommen werden müssten.
        Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
      - meier19
        
        2009-04-26 12:22
        
        User since
        2009-02-03
        73 Artikel
        BenutzerIn
        
        Die vierte Datei ist eben das Geheimnis und die Frage lautet, ob es sich von aussen lüften lässt. Den Server kann ich nicht konfigurieren - der wird mir konfiguriert vom Provider zur Verfügung gestellt. Nach seinen Angaben können cgi-Skripts überall im Document-Root gespeichert werden.
        Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
    - +2 replies
    - GwenDragon
      
      2009-04-26 12:02
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      2009-04-26T09:18:49 meier19
      Eigentlich hätte ich allein die vierte Datei auf den Server stellen und fragen können, ob sie jemand zu knacken in der Lage ist. Wenn ich die weitern drei Dateien aufgeführt habe, so geht es mir darum, ob ein Hacker mit der Kenntnis dieser drei Dateien weiter käme als ohne solche Kenntnis.
      Natürlich kann ein Hacker an die Dateien kommen.
      Das kommt ganz allein auf den Hacker an, was der kann.
      
      Du hättest gern eine Sicherheitsanalyse deines Systems und deiner Programme? Sowas ist nicht trivial. Nicht umsonst kostetet das was.
      
      Wer Webanwendungen baut, sollte sich schon mit Websicherheit auskennen.
      
      Lies bitte mal in den Links, die ich dir gab.
      
      Mehr Fachwissen wirst du wohl hier kostenlos nicht bekommen.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - meier19
        
        2009-04-26 12:26
        
        User since
        2009-02-03
        73 Artikel
        BenutzerIn
        
        Kennst du jemanden, der eine solche Analyse vornehmen würde und was das etwa kosten könnte?
        
        Zum Hinweis, wonach sich in Sicherheitsfragen auskennen müsste, wer Webanwendungen erstellt: ich bin am Lernen, sowohl in Webanwendungen wie auch in Sicherheit.
        Last edited: 2009-04-26 12:52:42 +0200 (CEST)
        Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
- +6 replies
- topeg
  
  2009-04-26 12:18
  User since
  2006-07-10
  2611 Artikel
  BenutzerIn
  Also nehmen wir folgendes an:
  Webserver läuft unter dem Nutzer/Gruppe: www-server/www-run
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10
  
  Pfad/Name Nutzer Gruppe Rechte /www-data/ * www-run 710 /www-data/htdocs/ * www-run 750 /www-data/cgi-bin/ * www-run 710 /www-data/plibs/ * www-run 710 /www-data/files/ * www-run 710 /www-data/htdocs/index.html * www-run 640 /www-data/cgi-bin/index.cgi * www-run 650 /www-data/plibs/Modul.pm * www-run 640 /www-data/files/datei * www-run 640
  
  In der "index.cgi"
  
  Code (perl): (dl )
  
  1 2 3
  
  use lib("/www-data/plibs/"); use Modul; Modul -> new("/www-data/files/datei");
  
  Nun gibt es mehrere Möglichkeiten des Angriffes.
  1. Ein Cracker nutzt eine Fehlkonfiguration des Webserveres. Er kann sich alle Dateien Innerhalb von "/www-data/htdocs/" listen. Die Datei "datei" beleibt nicht lesbar.
  
  2. Wie 1. Nur kann er alle Dateien innerhalb von "/www-data/" listen.
  Sofern er nicht herausfindet wo sich die Datei "index.cgi" befinden und anzeigen kann, kann er die Datei "datei" nicht anzeigen.
  
  3. Ein Cracker nutzt einen Fehler im OS um in das System Einzudrungen, kann aber nicht zur Gruppe "www-run" oder dem user der "*" wechseln. Er kann Datei "datei" nicht lesen.
  
  4. Er kann in das System eindringen und zur Gruppe "www-run" wechseln. Er kann außerhalb von "/www-data/htdocs" keine Verzeichnisinhalte Listen kann die Dateien, die er kennt aber öffnen. Die Datei "datei" ist relativ sicher, sofern der Cracker die Datei "index.cgi" nicht findet.
  
  5. Der Cracker kann in das System Eindringen und zum Nutzer "*" wechseln. Er hat vollen Zugriff auf die Datei "datei".
  
  Es hängt aber auch von den benutzten Programmen ab wie weit ein Cracker kommt. Zudem könnte man mit "sudo" und ähnlichem den Cracker etwas aufhalten.
  Last edited: 2009-04-26 12:21:15 +0200 (CEST)
  - +5 replies
  - meier19
    
    2009-04-26 12:37
    
    User since
    2009-02-03
    73 Artikel
    BenutzerIn
    
    Vielen Dank für die umfangreichen Ausführungen.
    
    Der Webserver wird mir vom Provider zur Verfügung gestellt. Ich habe also auf seine Konfiguration keinen Einfluss
    
    Standort und Inhalt der Dateien "index.cgi" und "Modul.pm" sind zu zwar durch die Zugriffsrechte - mehr oder weniger - geschützt. Die Namen, der Standort und der Inhalt dieser Daten sind jedoch insofern nicht geheim, als das Programm als Ganzes einem weitern Personenkreis bekannt sein soll. In diesem Personenkreis wird es solche haben, die dies ausnutzen werden.
    
    Auch der Standort der geheimen Datei ist bekannt, und es ist davon auszugehen, dass sich ihr Name erraten lässt. Ich gebe hier daher den Namen dieser Datei bekannt: "irgend1ein2name3".
    
    Die Frage stellt sich also genau so, wie ich sie in dem durch den Namen ergänzten Beitrag gestellt habe (der Standort war schon vorher ersichtlich): alles, was im Beitrag steht, ist also der Öffentlichkeit bekannt. Geheim ist nur der Inhalt der vierten Datei. Und die Frage lautet, ob sich ihr Inhalt feststellen lässt. Wenn dies jemandem gelingt, möchte er den Inhalt hier im Forum wiedergeben. Wird er hier im Forum nicht wiedergegeben, so darf ich davon ausgehen, dass der Inhalt genügend geschützt ist?
    
    Ich bin mir bewusst, dass der Inhalt der Datei durch einen Passwortschutz zusätzlich abgesichert werden könnte. Wenn dies nicht notwendig ist, möchte ich aber davon absehen können.
    Last edited: 2009-04-26 18:15:20 +0200 (CEST)
    Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
    - neniro
      
      2009-04-26 13:24
      
      User since
      2008-12-14
      79 Artikel
      BenutzerIn
      
      2009-04-26T10:37:26 meier19
      Wenn dies jemandem gelingt, möchte er den Inhalt hier im Forum wiedergeben.
      
      Ich möchte darauf hinweisen, dass dies als Aufforderung zu einer Strafttat betrachtet werden könnte! Insbesondere, da der Webspace anscheinend von einem Provider zur Verfügung gestellt wird, der einen "unangekündigten" Audit bestimmt nicht lustig findet!
      
      -- yet another amateur perl hacker
    - GwenDragon
      
      2009-04-26 14:05
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Wird werden hier nicht ein Audit für einen persönlich unbekannten Benutzer machen.
      Dazu sind wir rechtlich nicht befugt.
      
      Und den Aufruf, den Inhalt durch Forenbesucher herauszubekommen, verstehe ich als möglichen Aufruf zum Einbruchsversuch. Das ist rechtswidrig.
      Last edited: 2009-04-26 14:06:56 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +2 replies
    - topeg
      
      2009-04-26 15:10
      
      User since
      2006-07-10
      2611 Artikel
      BenutzerIn
      
      Ich werde
      1. Nicht in einen fremden Webserver einbrechen.
      
      2. Nicht raten was du genau mit
      Quote
      ...als das Programm als Ganzes einem weitern Personenkreis bekannt sein soll.
      meinst.
      Zugriff auf den Rechner (ftp, ssh, etc)?
      Zugriff auf den Server (http)?
      Zugriff über ein Konfigurationsscript?
      
      3. Ich denke, dies ist primär eine Perl-Forum, tiefer gehende Sicherheitsfragen kann und will ich hier nicht beantworten, da sich dann auch gleich Fragen der Haftung stellen, gerade bei so konkreten Fragen wie deine. Ich kenne dich nicht, ich weiß nicht wem der Server tatsächlich gehört und wie die Rechtslage bei einer solchen Beratung aussieht.
      - meier19
        
        2009-04-26 18:05
        
        User since
        2009-02-03
        73 Artikel
        BenutzerIn
        
        Ich habe die Adresse anonymisiert und alle vier Dateien gelöscht. Der hier etwa vorgebrachten Bedenken gegen meine Frage dürfte damit erledigt sein.
        
        Die Frage steht damit nur noch theoretisch. Selbstverständlich muss darauf nicht antworten, wer nicht will (oder nicht kann).
        
        Zur Frage, was ich damit meine, wenn ich ausgeführt habe, das Programm als Ganzes sei einem weitern Personenkreis bekannt: Das Programm soll nicht nur von mir genutzt werden, sondern auch von andern. Jeder Nutzer installiert es auf seinem Serverplatz. Somit ist jedem Nutzer das Programm bekannt. Dieses Programm besteht aus den zwei Dateien "index.cgi" und "Modul.pm". Die Datei "datei" ist, wenn ihr Inhalt auch bei jedem Nutzer anders lauten wird, ohnehin öffentlich, da sie über die ebenfalls öffentlich zugänglich Datei "index.cgi" in jedem Browser aufgerufen werden kann. Lediglich die vierte Datei soll geschützt bleiben und nur dem jeweiligen Inhaber des Serverplatzes vorbehalten bleiben.
        Last edited: 2009-04-26 19:07:55 +0200 (CEST)
        Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).
- meier19
  
  2009-04-26 20:29
  
  User since
  2009-02-03
  73 Artikel
  BenutzerIn
  
  Ergänzend führe hier das Programms im Einzelnen aus. Es handelt sich um ein (ganz einfaches) Content Management System, also ein CMS (ich kenne keine weniger hochgeschraubte Bezeichnung für ein solches Programm).
  
  Wer eine Html-Seite "von Hand" erstellt, speichert diese in einem bestimmten Verzeichnis des ihm vom Provider zur Verfügung gestellten Speicherraums, beispielsweise unter public_html. Stattdessen soll dort die Datei "index.cgi" stehen, die von jedem Browser aufgerufen werden kann. Diese Datei "index.cgi" leitet den Aufruf an "Modul.pm" weiter, wobei als einziger Parameter der Pfad und Name der Datei "datei" übergeben wird, die enthält, was im Browser ausgegeben werden soll. Dieser Parameter steht fest in der Datei "index.cgi", kann also nicht etwa über einen Browser eingegeben werden.
  
  Damit kann das Modul die Webpage bearbeiten, also Html-Code für Header, Zeilenumbrüche und dergleichen einfügen, aber auch Inhaltsverzeichnis oder Navigation, und dann das Ganze ausgeben. Der Nutzer des Programms (also des CMS) soll sich also nur mit dem Text der Webpage befassen müssen, während alles andere vom Modul besorgt wird (dem sagt man glaublich dynamisches Erstellen einer Website).
  
  Wie bei einem andern - jedenfalls in Perl geschriebenen - CMS kann den Programmcode jedermann kennen. Von einem Browser aus soll aber nur die Datei "index.cgi" aufgerufen werden können, was allein zur angestrebten Ausgabe der Webpage führt. Zwar wäre es nicht weiter schlimm, wenn auch die Datei "datei" eingesehen werden könnte, da sie nichts anderes enthält als den Text, der ohnehin im Browser ausgegeben werden soll. Aber die Ausgabe wäre, weil unformatiert, unschön und nicht dem Zweck der Website entsprechend.
  
  Bei der vierten Datei, die geschützt sein soll, handelt es sich um eine der Datei "datei" entsprechende Datei. Gemeint ist damit der Entwurf einer Webpage, der ausschliesslich vom Nutzer des Programms soll aufgerufen werden können. Testen kann der Nutzer des Programms diesen Entwurf nämlich nur in der realen Serverumgebung. Denn einen lokalen Server, der auch ein Sicherheitsrisiko darstellen würde und womit sich der Nutzer eines CMS nicht soll befassen müssen, soll er nicht installieren müssen, und der Bezug zu andern Webpages der Website ist nur in der realen Serverumgebung gegeben.
  
  Die Umleitung auf den Entwurf soll vom Modul vorgenommen werden, wenn im Browser ein bestimmter Parameter eingegeben wird. Ich muss also zugeben, dass auch ein vom Browser vorgegebener Parameter soll übergeben werden können. Dieser würde aber im Modul - tatsächlich wären es allerdings mehrere Module - geprüft und dürfte nur gewöhnliche Buchstaben enthalten, worunter ein Passwort, das hie und da zu ändern wäre.
  
  Hinzufügen muss ich, dass die Dateien (Webpages und Entwürfe dazu) nicht auf dem Server, sondern lokal bearbeitet und erst dann mit FTP auf den Server gestellt werden.
  
  Aus meiner Sicht als Anfänger in Webprogrammierung und Sicherheit sollte das Ganze sicher genug sein. Denn die Datei "index.cgi" soll von jedermann nur ausgeführt werden können (obwohl es nichts ausmachte, wenn sie auch gelesen werden könnte, zumal jeder, der das Programm kennt - und jeder kann es kennen - weiss, was darin steht). Die andern Dateien können von andern aufgrund der eingestellten Zugriffsrechte weder gelesen noch beschrieben oder ausgeführt werden. Das einzige Risiko sehe ich im vorgesehenen Parameter zum Aufruf der Entwürfe, was wie beschrieben abgesichert werden soll. Wenn ein Nutzer mit Html-Formularen, Javascript, Guestbooks und dergleichen selber Risiken einbaut, so ist dies nicht der Fehler des CMS.
  
  Meine Frage ist nicht trivial, aber wohl auch nicht überaus komplex (oder ist sie vielleicht doch sogar trivial?). Sollte sie den Rahmen dieses Forums aber tatsächlich sprengen, so möchte man diese Ergänzung oder den ganzen Beitrag löschen.
  
  Last edited: 2009-04-26 20:49:43 +0200 (CEST)
  Der Mensch schöpft seine Gesetze nicht aus der Natur, sondern schreibt sie dieser vor (Immanuel Kant).

View all threads created 2009-04-26 10:53.