* Kristian K�hntopp: > http://blog.koehntopp.de/archives/306_Firewalls_und_Komplexitaet.html > [ Was ganz anderes ]
Ich vertrete inzwischen den Ansatz, da� Web-Anwendungen regelm��ig Firewall-Komponenten darstellen und auch als solche entwickelt werden m�ssen. Alles andere bringt nichts. Wenn dann nat�rlich Leute mit traditionellem PHP-Code herkommen, der tonnenweise Anweisungen der Form $sql = "SELECT * FROM users WHERE uid=$uid"; enth�lt, haben sie nat�rlich verloren. Es ist auch fraglich, ob PHP unbedingt so geeignet ist als Firewall-Implementierungssprache. > http://securityfocus.com/bid/keyword/, Suchbegriff "ethereal" > > Dies listet eine ganze Reihe von Problemen, bei denen die Anwendung, ein > Netzwerkmonitor, sich selbst kompromittiert beim Decodieren von > Netzwerkpaketen, die f�r ganz andere Systeme bestimmt sind. ethereal hat > nat�rlich keine Chance - wann immer ein Protokoll selber einen Exploit hat, > hat ethereal m�glicherweise auch einen. Da alle Protokolle in ethereal > decodiert werden m�ssen, hat ethereal jede Menge Exploits. Protokolle haben keine Exploits, es sind die C-Implementierungen. Und bei der Masse an Protokollen, die die Sniffer unterst�tzen m�ssen, kann halt nicht in jedem Fall eine saubere Implementierung hingelegt werden. Warum man das dann ausgerechnet in C implementiert, entzieht sich meiner Kenntnis, wahrscheinlich ist das ebenfalls Tradition. Bei Nessus ist das wesentlich besser gel�st. > [ Bildschirm voll Exploits ] > > Wobei ich sagen mu�, da� die ethereal, tcpdump und snort-Listen > meine Lieblinge sind. Wenn ich diese Listen sehe, denke ich �ber > gewisse Produkte [http://www.syborg.de/] mit ganz �hnlicher > Funktionalit�t nach, und ob deren Exploit-Listen wohl k�rzer sein > m�gen. Und wer mag da wohl haften, wenn so eine Kiste kompromittiert > und dann ausgenutzt wird. Der Netzbetreiber hat die ja nicht > freiwillig aufgestellt... Frag' mal die Leute, die eine IVW-Schn�ffelbox mit ungepatchtem SSH in ihrem Netz aufstellen mu�ten... -- Current mail filters: many dial-up/DSL/cable modem hosts, and the following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com, jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt, tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
