Software & Infrastruktur

Unsichere Webapplikationen machen Webserver zu Spam-Schleudern: Schaden vermeiden durch mehr Serversicherheit

Mit dem Einsatz von unsicheren Webapplikationen kann jeder Webserver zur Spam-Schleuder werden. Das wiederum belastet den Ruf des Unternehmens und verursacht möglicherweise sogar finanziellen Schaden. Vor allem die bekannten Sicherheitslücken verbreiteter Software sind gefährdete Schwachstellen. Mit dem Einsatz von Firewalls, mit einem durch die Suhosin-Extension gehärteten PHP und mit weiteren Maßnahmen kann den Gefahren aber begegnet werden.

Zwar wird der größte Teil der UBE durch infizierte Desktop-PCs verschickt, die durch
Botnetze gesteuert werden [1]. Zunehmend wird aber ein nicht
unerheblicher Teil mit Hilfe von unsicher
programmierten Webapplikationen verbreitet. Die Folgen: Millionen Menschen erhalten eine UBE mit einem Absender nach dem Muster wwwrun@ihrefirma.ch. Vielleicht steht sogar in der E-Mail die Anschrift des Unternehmens und nun stellen Sie sich vor, es handelt sich um Ihr Unternehmen. Bedenken Sie, was das für den Ruf des Unternehmens bedeuten kann. Sogar ein Serviceausfall ist wahrscheinlich, und auch das wirkt sich negativ aus. Unter Umständen, je nach Hosting- beziehungsweise Anbindungsvertrag, ist neben dem Imageschaden zusätzlich sogar ein finanzieller Schaden durch einen erhöhten Traffic zu erwarten. Auch gehen Anbieter von DNS-Blacklisten immer rabiater gegen UBE-Versender und deren (potenziellen) Unterstützer vor, so wie Anfang Juni 2007 bei der Blockierung von nic.at durch spamhaus.org. Mehrere Blacklisten setzen ganze Unternehmensnetzwerke auf ihre Listen, so wird unter Umständen die Kommunikation per E-Mail mit Ihren Kunden erschwert, wenn nicht sogar unmöglich.

Die Ursachen

Viele so genannte „Profi-Programmierer“ schimpfen über PHP als generell unsichere Sprache. Das stimmt zwar so nicht, doch muss der PHP-Implementierung von Zend eine mangelnde Sicherheitskultur vorgeworfen werden. Wochenlang nachdem Sicherheitslücken entdeckt und zum Teil korrigiert wurden, sind sie im CVS Repository [2] vor dem nächsten Release öffentlich einsehbar. In den Release Notes wird zudem vielfach vergessen, die gestopften Lücken zu erwähnen. Die Systemadministratoren erkennen dann die Ernsthaftigkeit der Lage nicht und warten mit dem Update. Mehr und tiefere Informationen zu dem Thema können in Stefan Essers Blog [3] nachgelesen werden. Insgesamt gilt, dass unsorgfältige Programmierung die häufigste Ursache für verwundbare Webapplikationen ist, egal in welcher Programmiersprache sie geschrieben sind.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.