>> "FR" == Frank Rosendahl <[EMAIL PROTECTED]> writes:
FR> 1. Wie könnte ein potentieller Angreifer an dieses Passwort FR> herankommen ? Er muß den Netzverkehr zwischen dem User und dem Server abfangen. FR> 2. Wie sehe ich als Administrator, ob ein solcher Angriff FR> stattgefunden hat ? Garnicht. Etwas anders ist brute-force raten von Paßworten, da dies jedesmal einen Eintrag ins Log bringt. FR> 3. Welche Möglichkeit besteht, solche Angriffe per Firewall FR> auszuschalten ? Garkeine. Das Problem besteht auf Protokollbasis (in diesem Fall HTTP). Genauso ist es bei NNTP, POP3, FTP. FR> 4. Wenn ich den Server auf SSL-Basis aufbaue, wird dann dieses FR> Passwort auch verschlüsselt, oder immernoch im Klartext übertragen FR> ? Nein. Zunächst bauen die beiden eine verschlüsselte Verbindung auf (wobei das Patchen des Browsers auf 128 Bit anzuraten ist). Über diese Verbindung wird das Paßwort im Klartext übertragen, wie immer. Aber der Angreifer müßte den SSL Datendtrom dechiffrieren, um daran zu kommen. FR> 5. Etwas neben dem Grundthema: Es ist möglich einen Apache-Server FR> mit Frontpage-Extensions bzw. Active Server Pages aufzubauen. Wenn FR> ich einen solchen Server mit SSL erweitere, werden dann auch die FR> Daten zu den FP/ASP-Dateien hin- und zurück verschlüsselt ? Ich habe keinen Apache, und FP ist Teufelszeug und eine scheunentorgroße Sicherheitslücke. Schau mal in Bugtraq, da müßte genug zu dem Thema stehen. ASPs kannst du glaube ich nur mit dem IIS benutzen. FR> 6. Wie sieht es bei den alternativen Webservern aus ? Gibt es da FR> bessere Sicherheitsmethoden ? Eine Sicherungsmethode muß vom Server _und_ vom Client verstanden werden. Und die Clients können nur SSL. Ansonsten solltest du mal einen tiefen Blick in http://www.w3.org/Security/Faq/www-security-faq.html werfen. Ciao, Martin ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 735
