Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) steigt die Zahl der ausgenutzten Sicherheitslücken[1]. Die Folge: Immer mehr Websites werden von Hackangriffen heimgesucht. Wer einige grundlegende Regeln beachtet, minimiert das Risiko von Datenklau & Co. aber enorm.
Haben Sie schon mal Ihre eigene Website aufgerufen und sich über unbekannten Inhalt gewundert? Nein? Glück gehabt, denn die Zahl der gehackten Websites nimmt zu, Sicherheitslücken werden immer schneller ausgenutzt. Prominentes aktuelles Beispiel für einen erfolgreichen Hack-Versuch: Die Website des deutschen Kinderschutzbundes (DKSB). Aufgrund einer Sicherheitslücke verschafften sich im Juni Unbekannte Zugriff auf den Server des Vereins und modifizierten den Inhalt der Startseite, auf der dann für einige Stunden kritisch auf das zuvor beschlossene Gesetz gegen Kinderpornographie im Netz Bezug genommen wurde. Das brachte dem Kinderschutzbund nicht nur negative Berichterstattung über die Absicherung seiner Website, sondern auch unvorbereiteten Wartungsaufwand mit einem mehrstündigen Ausfall der Website. Umso tragischer: Der Vorfall hätte wohl vermieden werden können, hätte man einige wichtige Regeln beachtet.
Foto: © sunfleps, Fotolia.com
Aktueller Software-Einsatz
Viele Website-Betreiber setzen auf Content-Management-Systeme wie TYPO3, Joomla, WordPress und Co., schließlich bieten die Software-Pakete die Möglichkeit, schnell und professionell, mitunter sogar ohne Programmierkenntnisse, im Internet eine eigene Präsenz aufzubauen. Aufgrund des frei verfügbaren Quellcodes ist es für Hacker ein Leichtes, Sicherheitslücken im Code zu identifizieren und auszunutzen.
Warum es gerade für Hacker so interessant ist, eine Lücke in einer weit verbreiteten Software zu finden, liegt dabei auf der Hand: Sie schaden durch das Ausnutzen einer Lücke nicht nur einer Person, sondern können weitere Websites, die die gleiche Software-Version einsetzen, mit schadhaftem Code infizieren.
Achten Sie daher stets darauf, die aktuellste Version zu installieren und besuchen die offizielle Website der eingesetzten Software regelmäßig. Die Entwickler reagieren in der Regel sehr schnell auf Sicherheitslücken und bieten Updates oder Workarounds an. Dank vorgefertigter Update-Skripte können in der Regel auch Laien die Aktualisierungen vornehmen. Zudem bieten Webhoster mitunter einen Dienst an, der Sie automatisch über Aktualisierungen informiert und Updates mit wenigen Klicks ermöglicht.
RSS-Feed
Twitter
habe den Artikel gerade in der t3n gelesen und bin über den Abschnitt PHP Safe-Mode gestolpert.
Ich glaube da ist etwas durcheinander gekommen. In PHP6 wird der Safe-Mode entfernt werden, nicht wie im Artikel angegeben "die Deaktivierung wegfallen". In PHP 5.3 ist diese Einstellung bereits als "DEPRECATED" markiert.
Quelle: http://de3.php.net/manual/en/ini.sect.safe-mode.php
Aus diesem Abschnitt geht hervor, dass der Safe-Mode PHP komplett sicher mache. Leider stimmt dies nicht. Der Safe-Mode erweckt einen falschen Eindruck von Sicherheit. Gerade das Prüfen auf erlaubte Dateirechte-Operationen sind eher weniger Sache von PHP sondern müssen bereits in der Serverumgebung korrekt geregelt werden.
Quelle: http://www.php.net/~derick/meeting-notes.html#safe-mode
Eine PHP-Anwendung die sich nicht unter Safe-Mode installieren lässt sagt weiterhin nichts darüber aus ob die Anwendung sicher programmiert ist oder nicht. Schon das anlegen von Cachefiles im tmp-Verzeichnis kann bei schlechter Serverkonfiguration durch den Safe-Mode geblockt werden. Deshalb eine andere Anwendung auszuwählen halte ich für einen sehr fragwürdigen Tipp.
Viele Grüße,
Adrian
Safe Mode is deprecated in PHP 5.3.0 and is removed in PHP 6.0.0.
Entwickler sollten sich daher Gedanken machen, wie sie ihre Applikationen OHNE Safe Mode absichern, d.h. auf den Ebenen, die dafür zuständig sind, z.B. durch korrekte Rechtevergabe im OS.
Richtig müsste es heißen: Apropos: Die Deaktivierung des Safe-Mode stellt nicht nur eine mögliche Gefahr dar, sondern wird er mit der kommenden PHP Version 6 auch gänzlich wegfallen. Die Programmierer sind somit ohnehin gezwungen Ihren Code womöglich zu überarbeiten.
das habe ich natürlich auch so gemeint. In der verbesserten Version steht daher das Wörtchen "er" (wird er (der Safe-Mode) wegfallen).
[...] Datenklau & Co. aber enorm. Unser Artikel aus t3n Magazin Nr. 17 gibt dazu einen Überblick. Er steht jetzt kostenlos im Heftarchiv zur Verfügung. Zudem kann man t3n Nr. 17 für 9,80 Euro inklusive Versandkosten auch in unserem Shop bestellen. [...]
IMO ist der ganze Absatz irgendwie seltsam ... der Hinweis auf einen PHP Hardener wie Suhosin u.ä. wäre an der Stelle für die Selbsthoster vielleicht noch interessant gewesen.
Ansonsten Daumen hoch ;) das Thema kann man nicht oft genug wiederholen!