Stefan 'Steve' Tell <[EMAIL PROTECTED]> wrote on 14.08.04:
> * Michael Heydekamp <[EMAIL PROTECTED]> wrote:
>> IMO w�re dann erstmal Steve am Zug, seine Position zu begr�nden, und
>> anschliessend Martin, diese Begr�ndung zu zerpfl�cken oder ihr ggf.
>> zuzustimmen.
> Ich war der Meinung, meine Position bereits mehrfach dargestellt zu
> haben.
In dieser Ausf�hrlichkeit hab' ich das bisher nicht gesehen. Um so
besser, wenn es jetzt mal was Handfestes gibt, �ber das man reden kann.
> [...] Trotzdem gibt es kaum sicherheitsrelevante Anleitungen und
> Texte, in denen nicht darauf hingewiesen wird, m�glichst wenig
> Informationen vom System preiszugeben, um etwaigen Angreifern nicht
> unn�tig Angriffsfl�che zu bieten.
Darauf komme ich gleich weiter unten.
> Erst k�rzlich bin ich unsanft darauf hingewiesen worden, dass schon
> meine Systeminformation mit OS-Version zu aussagekr�ftig sei. Eine
> �hnliche Diskussion hat es mal in Crosspoint-Kreisen gegeben, als es
> darum ging, ob man das genutzte OS im User-Agent unterbringt.
Da ging es IMO um was anderes, n�mlich mehr den Schutz der Privatsph�re
hinsichtlich der Nutzung des eigenen Betriebssystems als um
sicherheitsrelevante Aspekte (nach dem Motto "muss ja nicht jeder
mitkriegen, dass ich WinNT benutze"). Wobei ich das nicht ganz
nachvollziehen kann, zumal gerade diese Privatsp�hre von Linux-
Newsreadern mit F�ssen getreten w�rde, wenn man das als ein
sch�tzenswertes Datum ansieht.
> Gucken wir uns z.B. den Webserver an (vorsicht, ggf. lange Zeilen):
> ,----
> | Apache/2.0.49 (Debian GNU/Linux) Server at www.martinwodrich.de Port 80
> `----
> Und erinnern wir uns daran, dass es f�r sarge keine Sicherheitsupdates
> gibt:
> ,----
> | Apache/2.0.50 (FreeBSD) PHP/4.3.8 mod_ssl/2.0.50 OpenSSL/0.9.7d Server at
> zeus.crashmail.de Port 80[1]
> `----
Aber es ist ja erstens m�glich, von 2.0.49 auf 2.0.50 upzudaten (nehme
auch mal an, dass das demn�chst passieren wird), und zweitens ist es
auch Dir ja offenbar ohne gr�sseren Aufwand gelungen, die Version
herauszufinden.
Ich unterstelle mal, dass diejenigen, die es b�swillig auf die 2.0.49
oder fr�her abgesehen haben, schneller ein Script geschrieben haben, mit
dem sie in k�rzester Zeit weltweit Hunderttausende oder Millionen von
m�glichen Angriffspunkten ermittelt haben, als m�hsam die Support-
Mailinglisten oder -Newsgroups von Projekten wie FreeXP nach
entsprechenden Postings abzusuchen, in denen solche Infos m�glicherweise
enthalten sein k�nnten.
Zumal sich die exakte Apache-Version aus dem Info-Posting auch gar nicht
ergibt.
Michael
------------------------------------------------------------------------
FreeXP Support-Mailingliste
[EMAIL PROTECTED]
http://www.freexp.de/cgi-bin/mailman/listinfo/support-list
