Hallo Experten

Mein hosting-provider wurde von einem üblen Zeitgenossen lahm gelegt. Die Vermutung geht dahin, dass ein cgi-script daran Schuld war. Deshalb soll eventuell in Zukunft kein CGI mehr möglich sein.

Was haltet ihr davon?

Grüsse
M.

a) ja, man kann mit allem, auch mit CGI, einen Server abschießen.

b) in Zukunft kein CGI mehr ermöglichen ist eine geniale Idee (fänden die konkurrierenden Webspace-Provider, die sich dann über neue Kunden freuen dürften).

Dem Verursacherprinzip mäßig zu folgen erscheint meiner Meinung nach sinnvoll. Also das CGI-Skript ausfindig machen, das zum Absturz führte, und es erstmal unausführbar machen. Den Kunden dazu ausfindig machen, und ihm das Problem schildern. Es liegt dann im ermessen des Kunden, entweder sein Skript sicherer zu gestalten, oder einen Provider mit dickerer Hardware zu suchen.

Da kann ich Relais nur zustimmen...

Den Kunden darauf hinzuweisen hätte vielleicht auch noch einen anderen Erfolg: Der Programmierer des Skripts denkt vielleicht mal etwas über "bessere" Programmierung - also Sicherheitslücken stopfen, Ressourcensparender programmieren - nach...

Ist es eine Illusion, als "Hobby-Programmierer" eine Website mit der Hilfe von Perl zu machen?
Oder muss man dazu der ausgebuffte Sicherheitsexperte sein?

Nein, ist keine Illusion.

Gerade für Perl gibt es jedoch ganz einfache Sachen, die man beachten kann

- Taintmodus anschalten
- Bei SQL-Abfragen die ?-Schreibweise benutzen (siehe Doku zu DBI)
- Bei Uploads die Größe beschränken und vielleicht auch nicht jedem erlauben (siehe $CGI::MAX_SIZE)
- Traue keiner Benutzereingabe
...

Alles kein Hexenwerk, sollte aber doch beachtet werden...

[quote=renee,04.04.2005, 14:00]Gerade für Perl gibt es jedoch ganz einfache Sachen, die man beachten kann

- Taintmodus anschalten
- Bei SQL-Abfragen die ?-Schreibweise benutzen (siehe Doku zu DBI)
- Bei Uploads die Größe beschränken und vielleicht auch nicht jedem erlauben (siehe $CGI::MAX_SIZE)
- Traue keiner Benutzereingabe
...[/quote]
Verwende ein Templating-System, zum Beispiel HTML::Template / HTML::Mason / Template::Toolkit / ...

ist denn php sicherer als perl. das schlagen sie mir nämlich vor.

Das urspruengliche Problem hoert sich so an, als ob ein Programm viel CPU und/oder Speicher gefressen hat. Das kann man mit jeder Programmiersprache schaffen: einfach eine Endlosschleife schreiben und immer neuen Speicher belegen. Da helfen nur Resource Limits.

php hat soweit ich weiss mehr bekannte sicherheitslücken

[quote=mättu,04.04.2005, 15:47]ist denn php sicherer als perl. das schlagen sie mir nämlich vor.[/quote]
Zudem verwendet auch PHP CGI. Es sei denn, man verwendet mod_php -- das behaupten manche Provider zu verwenden, aber nicht alle tun es. Passend dazu gibt es mod_perl.