Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 9

Unsichere Webapplikationen machen Webserver zu Spam-Schleudern: Schaden vermeiden durch mehr Serversicherheit

    Unsichere Webapplikationen machen Webserver zu Spam-Schleudern: Schaden vermeiden durch mehr Serversicherheit

Mit dem Einsatz von unsicheren Webapplikationen kann jeder Webserver zur Spam-Schleuder werden. Das wiederum belastet den Ruf des Unternehmens und verursacht möglicherweise sogar finanziellen Schaden. Vor allem die bekannten Sicherheitslücken verbreiteter Software sind gefährdete Schwachstellen. Mit dem Einsatz von Firewalls, mit einem durch die Suhosin-Extension gehärteten PHP und mit weiteren Maßnahmen kann den Gefahren aber begegnet werden.

Zwar wird der größte Teil der UBE durch infizierte Desktop-PCs verschickt, die durch Botnetze gesteuert werden [1]. Zunehmend wird aber ein nicht unerheblicher Teil mit Hilfe von unsicher programmierten Webapplikationen verbreitet. Die Folgen: Millionen Menschen erhalten eine UBE mit einem Absender nach dem Muster wwwrun@ihrefirma.ch. Vielleicht steht sogar in der E-Mail die Anschrift des Unternehmens und nun stellen Sie sich vor, es handelt sich um Ihr Unternehmen. Bedenken Sie, was das für den Ruf des Unternehmens bedeuten kann. Sogar ein Serviceausfall ist wahrscheinlich, und auch das wirkt sich negativ aus. Unter Umständen, je nach Hosting- beziehungsweise Anbindungsvertrag, ist neben dem Imageschaden zusätzlich sogar ein finanzieller Schaden durch einen erhöhten Traffic zu erwarten. Auch gehen Anbieter von DNS-Blacklisten immer rabiater gegen UBE-Versender und deren (potenziellen) Unterstützer vor, so wie Anfang Juni 2007 bei der Blockierung von nic.at durch spamhaus.org. Mehrere Blacklisten setzen ganze Unternehmensnetzwerke auf ihre Listen, so wird unter Umständen die Kommunikation per E-Mail mit Ihren Kunden erschwert, wenn nicht sogar unmöglich.

Die Ursachen

Viele so genannte „Profi-Programmierer“ schimpfen über PHP als generell unsichere Sprache. Das stimmt zwar so nicht, doch muss der PHP-Implementierung von Zend eine mangelnde Sicherheitskultur vorgeworfen werden. Wochenlang nachdem Sicherheitslücken entdeckt und zum Teil korrigiert wurden, sind sie im CVS Repository [2] vor dem nächsten Release öffentlich einsehbar. In den Release Notes wird zudem vielfach vergessen, die gestopften Lücken zu erwähnen. Die Systemadministratoren erkennen dann die Ernsthaftigkeit der Lage nicht und warten mit dem Update. Mehr und tiefere Informationen zu dem Thema können in Stefan Essers Blog [3] nachgelesen werden. Insgesamt gilt, dass unsorgfältige Programmierung die häufigste Ursache für verwundbare Webapplikationen ist, egal in welcher Programmiersprache sie geschrieben sind.

  • Seite:
  • 1
  • 2
  • 3
  • 4
  • 7

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst