kostenloser Webspace werbefrei: lima-city


Sicherheitslücken bei XAMPP ?!

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    b*********-

    N'Abend ^^

    Ich habe mir XAMPP runtergeladen, allerdings wird man bei den FAQ ja darauf hingewiesen, dass das System nicht sicher sei, sofern man im Netzwerk oder I-Net agiert. Reicht da wirklich die Firewall oder muss ich das Ganze per Passwort sch?tzen? Dann sollen ja wiederum Funktionen fl?ten gehen -.-

    Und was genau bedeutet es, die Progs (Apache, MYSQL, ...) als Dienst zu installieren?

    Ich hoffe, ihr k?nnt mir helfen^_^

    Beitrag ge?ndert am 18.02.2006 02:50 von blackangel-
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hm... ich hoffe ich kann helfen, allerdings hab ich mir XAMPP noch nie so richtig angesehen.

    Bei XAMPP ist das "Problem" das es teilweise unkonfiguriert daherkommt, zB ist kein Passwort f?r den root User gesetzt, oder phpmyadmin authentifiziert mit der config und solche Dinge. Das meiste wird aber auf deren Seite eh aufgef?hrt wenn ich mich richtig erinnere.

    Als Dienst installieren hei?t ganz einfach das du nicht eingeloggt sein musst damit Apache, Mysql und Co laufen. Sprich du bist Account Unabh?ngig du kannst dich als jeder User einloggen und hast deinen Webserver zur Verf?gung und auch wenn du nicht eingeloggt bist kann man vom Internet aus darauf zugreifen.
  4. ?ber den XAMPP-Adminbereich kann man allerdings Passw?rter setzen ( http://localhost/xampp/ ). Insgesamt find ich XAMPP gut und nutze es auch, Sicherheitl?cken hab ich noch keine gesehen :smile:
  5. es gibt nur einen grund, warum man sachen als dienste laufen l?sst.

    ein dienst kann z.B. von einem benutzer gestartet werden der keine rechte auf der maschine hat. so kann ein cracker, der diesen service ausnutzt trotzdem keinen zugriff auf den pc bekommen und ihn somit auch nicht benutzen.

    also ein wesentlicher sicherheitspunkt.
    ich w?rd bei einem richtigem inet server die benutzung von xampp nicht empfehlen, da er atm buggy und vorallem nicht l?ckenlos ist.

    apache2, php5 und mysql4 sollte jeder in 15min installiert bekommen.

    MFG
    Andy
  6. Autor dieses Themas

    b*********-

    Naja, viel Wahl habe ich nicht, da ich ja nicht etliche PCs zu Hause stehen habe ^^""""

    Nebenbei gefragt: Wenn ich XAMPP nicht aktiv laufen habe, ist auch keine Sicherheitsl?cke am PC oder? Oder kann man sich dann trotzdem noch "reinschl?ngeln" (gut, das kann man immer *g*, aber ist es mit der Installition von XAMPP gef?hrlicher?)
  7. solange man alle (wirklich alle) xampp dienste killt gibt es keine gef?hrdung. aber sobald irgendwas l?uft is das ding offen wie nen schweizer k?se^^
    die standart config von dem teil kommt ohne passw?rter oder ?hnlichem. entweder man geht manuell intensiv den l?cken nach, oder man installiert ein anderes pack welches sicherer ist z.B. apache2triad.

    MFG
    Andy
  8. 0******a

    andy schrieb:
    solange man alle (wirklich alle) xampp dienste killt gibt es keine gef?hrdung. aber sobald irgendwas l?uft is das ding offen wie nen schweizer k?se^^
    die standart config von dem teil kommt ohne passw?rter oder ?hnlichem.

    Das ist nicht XAMPP, was unsicher ist, sondern es geht da um Sicherheitsl?cken in den einzelnen Paketen (also z.b. Apache). Und es sind bereits die Pakete, die diese Sicherheitsprobleme aufweisen (der MySQL-Dienst wird standardm?ssig immer mit einem leeren root-Passwort installiert).
    Dienste sind nicht automatisch sicherer. Man muss schon extra einen Benutzer anlegen, der eingeschr?nkte Rechte hat und dann den Dienst nur mit diesem Benutzer laufen lassen.
    Wenn man eine Firewall besitzt und die richtig konfiguriert hat, dann ist es eigentlich auch egal, ob die Dienste unsicher sind oder nicht, man muss halt nur darauf achten, dass diese von aussen nicht erreichbar sind.
    Meine Empfehlung zu den einzelnen Paketen:
    MySQL: auf jeden Fall > 3.x
    Apache: 1.x reicht aus, wenn man nicht mit CGI arbeitet, ansonsten halt
    PHP: 4.x
    Bei allen jeweils die letzte Version.
    Mit PHP 5 w?rde ich noch eine Weile warten.
  9. hmm lesen hilft, genau das hab ich n?mlich nur ein paar posts dr?ber erw?hnt^^ aber trotzdem danke, dass du es nochmal wiederholt hast.

    kleines beispiel:
    klein n00b installiert sich xampp und hat wie sein name schon sagt keinen plan von nix. er schmei?t in den htdocs ordner seine webseite rein und freut sich, dass alles geht. da aber weder ftp noch mysql ein richtiges passwort haben kann jeder mit etwas wissen die dienste "hijacken" und die passw?rter ?ndern. vor ddos attacken und ?hnlichem muss sich der private pc im inet eigentlich nicht f?rchten. welcher haxx0r h?tte interesse einen unwichtigen pc down zu bekommen? das hat doch garkeinen reiz.

    MFG
    Andy
  10. Also ums allgemein zu verfassen Xampp hat keine Sicherheitsl?cken lediglich der User wie immer falls man ein pw vergisst einzustellen oder die xampp seiten ?bers netz erreichen l?sst kann jeder depp dein webserver hacken. Naya aber zu deiner Hauptfrage Nein Xampp hat keine L?cken und wen dan werden die sofort mit einem Sicherheitspatch ausgeschalten bevor einer sich bei dir einhacken kann ;)
  11. also ich kann im bezug auf xampp nur noch eins sagen.. entweder alle ports im router dicht machen, das von außen keiner mehr drauf kommt oder die finger von lassen!!! mein virenscanner+firewall kanns bezeugen ;) (haben beide versagt und die kiste war total verseucht)

    das paket ist zwar super zum entwickeln, testen, etc. aber sobald man vom internet zugriff drauf hat, ist der rechner offen wie ein scheunentor!!! das hat den einfachen grund, das xampp nicht als öffentlicher webserver gedacht ist, sondern so konfiguriert ist, das man möglichst viele funktionen zur verfügung hat, teils sogar viele die ich auf nem öffentlichem webserver niemals aktivieren würde...

    dazu ist noch zu sagen, das die sicherheitseinstellungen über dieses security interface absolut nichts taugen!! wie gesagt -> mein virenscanner+firewall kanns bezeugen.. :-( bei mir lags am nicht gesicherten "webdav" (ganz böse) warum sowas überhaupt standardmäßig aktiv ist.. ka..


    wenns nen öffentlicher server sein muss, dann lieber selber aufsetzen und mit tutorial / forumhilfe sicher konfigurieren


    edit: nochmal zum xampp -> alles was man nicht braucht -> deaktivieren / ausdeklarieren und am besten löschen ;-)

    Beitrag zuletzt geändert: 15.3.2011 17:00:59 von nick8719
  12. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!