On Tue, 1 Jun 2004, Dietz Proepper wrote: > Florian Weimer: > > Ja, das ist ein Argument, was gerne vorgebracht wird: ein > > Zwiebelmodell, und der Angreifer mu� erst m�hselig jede Schicht > > abpulen, bevor er etwas (aus seiner Sicht) Vern�nftiges anstellen > > kann. > > In der Praxis sieht das dann h�ufig so aus da� $Verantwortlicher f�r > Zwiebelschale n sich darauf verl�sst da� Schalen 1..n-1 exakt ihre > Spezifikation erf�llen. Was bei ausreichend vielen Verantwortlichen und > Schalen dann leicht in Sachen wie "an der Stelle k�nnen wir auf IP-Ebene > identifizieren und authentifizieren da dort niemand usw." m�ndet.
Wer das tut, hat den Ansatz nicht verstanden. Jede "Zwiebelschale" sollte einen unabhaengigen Schutz hinzufuegen. > Das Gesamtsystem ist dann so aufgebl�ht da� auch niemand mehr die > Implikationen ohne weiterers �berblicken kann. Von einander unabhaengige Schutzmechanismen sind einfach zu verstehen, jeder Mechanismus fuer sich. Wenn ich eine Maschine in die DMZ packe, ist das nicht davon abhaengig, ob ich den "Internet"-Service in eine jailed oder chrooted Umgebung packe, unabhaengig davon, dass der Dienst nicht mit root-Rechten laeuft, unabhaengig davon, ab die Konfig-Dateien und binaries readonly gemountet sind, unabhaengig vom Firewall, der nur Pakete, die fuer den Internet-Dienst noetig sind, durchlaesst.. Nothing is perfect, aber Unfaehigkeit der Anwender ist kein Argument gegen eine Methode. Gruss Peter -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
