WAA-Server auf Windows SP2

Vom Front-End bis SOAP.

Moderator: Moderatoren

Antworten
olaf870
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 128
Registriert: Mi, 26. Okt 2005 18:41
Wohnort: Berlin
Kontaktdaten:

WAA-Server auf Windows SP2

Beitrag von olaf870 »

Hallo,
seit einigen Tagen habe ich einen eigenen lüfterlosen 24/7-Web-Server im Format einer dicken CD an der Bürowand kleben (kostete nichtmal 200 € und saugt nur ca. 20€ Strom im Jahr). Es läuft darauf Windows XP SP2 (SP 3 will ich nicht), der WAA mit IIS sowie ein paar WAA-Anwendungen, als auch ein paar ASP/.NET Programme. Bisher alles nur zum Test.

Weiß jemand, welche Sicherheitsrisiken beim WAA und XP SP2 bestehen oder worauf man besonders achten muss? Ich bin für alle Hinweise dankbar.

Wenn sich jemand das Teil (von der Anwendungseite her!) mal anschauen will -> http://www.combifinanz.de/tools -> dann webshop.

Grüße
Olaf870
Grüße
Olaf870
http://combifinanz.de
Benutzeravatar
Armin
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 389
Registriert: Mo, 26. Sep 2005 12:09
Wohnort: 75331 Engelsbrand
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von Armin »

Hallo Olaf,

schön - beim Rumprobieren mit dem Firefox bin ich auf Beleg-Vorschau auf folgende Meldung gestossen:
Wenn Sie Firefox benutzen:
(ActiveX muss bei Firefox als "Extension" nachgeladen werden.)
Soweit ich das weiß funktioniert dies nicht - es gibt aber z.B. den IE-Tab für Firefox - dabei wird aber auch die MS-IE-Engine gestartet. Wieso brauchst Du für PDF-Vorschau ein Active-X?
Weiß jemand, welche Sicherheitsrisiken beim WAA und XP SP2 bestehen oder worauf man besonders achten muss?
Active-X ist ein Sicherheitsrisiko.
Ansonsten ist der WAA schon sehr sicher - wenig verbreitet, kennt niemand usw.
Grundsätzlich würde ich trotzdem raten alle Parameter die von deinen WAA-Funktionen benutzt werden so zu prüfen, dass auch nur erwartete Inhalte angenommen werden.

Ich habe noch keine Lösung dafür, wenn ein Benutzer z.B. schnell hintereinander viele arbeitsaufwändige Requests auslöst, bzw. dies mehrere Benutzer gleichzeitig tun. Diese stopfen bei mir den WAA zu, bzw. stehen in der Warteschlange...
Ich habe den IIS am Laufen...

Grüße, Armin
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von Martin Altmann »

Moin Olaf,
ich bin auch der Meinung, dass der WAA nicht das eigentliche Sicherheitsrisiko in Deiner Konfiguration darstellt.
Dies liegt eindeutig beim Webserver selber und dem zugrunde liegenden OS.
Wenn Du also den IIS (oder auch den Apache) nutzt, können natürliche sämtliche Sicherheitslücken, die Du durch Einspielen der entsprechenden Patches noch nicht gestopft hast, auch aktiv ausgenutzt werden!

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
olaf870
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 128
Registriert: Mi, 26. Okt 2005 18:41
Wohnort: Berlin
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von olaf870 »

Hallo Martin, hallo Armin,
gibt es da ev. eine Liste mit den von SP2 auf SP3 gestopften Sicherheitslecks, den IIS oder sonst was betreffend?

Grund dafür, dass ich das SP3 nicht mag, ist, dass sich manche Programme von vor 2007, die den Windows-Installer benutzen, nicht mehr installiert werden können. Ich müßte also selektiv Patches anwenden, um zu verhindern, dass der neue unkompatible Windows-Installer 3.1 sich auf meiner Kiste breitmacht (oder weiß jemand ein Lösung, der alte Installer wieder drüber installiert werden kann?)

@Armin,
PDF-Darstellung mit oder ohne Control ist - denke ich - mal nicht von grosser Bedeutung. Wenn es für einen Hacker möglich wäre, ein Activ-X Control auf meinem Server installieren, das anstelle meines vorgesehenen Controls an dieser Stelle aufgerufen wird, dann ist er sowieso schon tief in meinem System drin, dann alles andere nur noch ein nebensächliches Problem.

Bleibt die Frage: Welche Angriffspunkte bietet der IIS oder das XP?

Grüße
Olaf870
Grüße
Olaf870
http://combifinanz.de
Benutzeravatar
Armin
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 389
Registriert: Mo, 26. Sep 2005 12:09
Wohnort: 75331 Engelsbrand
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von Armin »

Hallo Olaf,
PDF-Darstellung mit oder ohne Control ist - denke ich - mal nicht von grosser Bedeutung. Wenn es für einen Hacker möglich wäre, ein Activ-X Control auf meinem Server installieren, das anstelle meines vorgesehenen Controls an dieser Stelle aufgerufen wird, dann ist er sowieso schon tief in meinem System drin, dann alles andere nur noch ein nebensächliches Problem.
das ist auch ein Sicherheitsproblem für deine Anwender/ Besucher...

Du hast ja auch ein Datei-Upload drin - wie groß dürfen die Dateien sein, kann man deine Festplatte füllen...

Jeder mögliche Vorgang ist halt auch automatisch ausführbar.

Grüße, Armin
olaf870
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 128
Registriert: Mi, 26. Okt 2005 18:41
Wohnort: Berlin
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von olaf870 »

Hallo Armin,

Ich versuche meine Web-Seiten ordentlich zu machen, um eventuelle Sicherheitsprobleme von meinen Seitenbesuchern kann ich mich nicht kümmern. Wenn natürlich jemand meinen Server captured, meine aber Seitenbesucher auf harmlose Web-Seite vertrauen, dann wäre das in der Tat mein Problem. Damit das nicht passieren kann, versuche ich gerade grundlegendes Securitiy-Know-How aufzubauen.

Meine Festplatte kann man tatsächlich zumüllen, aber nur in 100 MByte-Schritten. Hast Du das Bild mit den Kürbissen auf meinem Server abgelegt? Witzig, wie der eine abkotzt!

Grüße
Olaf870
Grüße
Olaf870
http://combifinanz.de
Benutzeravatar
Armin
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 389
Registriert: Mo, 26. Sep 2005 12:09
Wohnort: 75331 Engelsbrand
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von Armin »

Hallo Olaf,

ja, das Bild mit den Kürbissen ist von mir :wink:

Grüße, Armin
olaf870
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 128
Registriert: Mi, 26. Okt 2005 18:41
Wohnort: Berlin
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von olaf870 »

Hallo Armin,
darf ich auf das Bild hier mal einen Link legen, oder ist da Copyright drauf?

Als Serverbetreiber muss man ja darauf achten, was man zur Verfügung stellt, sonst kostet es gleich eine Abmahnung und meist gleich auch einen Haufen Geld. Mit einem Bein steht man ja als Serverbetrieber in D ja sowieso schon im Gefängnis.

Grüße
Olaf870
Grüße
Olaf870
http://combifinanz.de
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15689
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von brandelh »

Weswegen man keinesfalls ein Verzeichnis zum einfachen upload / download freigeben sollte ;-)
Entweder nur Upload, oder gar nicht ... 8)
Gruß
Hubert
Benutzeravatar
Armin
Rekursionen-Architekt
Rekursionen-Architekt
Beiträge: 389
Registriert: Mo, 26. Sep 2005 12:09
Wohnort: 75331 Engelsbrand
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: WAA-Server auf Windows SP2

Beitrag von Armin »

Hallo Olaf,

das Bild hat mir vor Jahren ein Freund geschickt... Ich weiß nicht wo´s herkommt...

Grüße, Armin
Antworten