Sicherheitsbedenken: XAMPP
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
apache
datei
datenbank
gedanke
haus
http
internet
laufen
lernen
netz
port
server
sicherheit
sorgen
testen
url
verbindung
zugang
zugreifen
zugriff
-
Hallo!
Ich habe vor auf meinem PC zum PHP-lernen XAMPP zu installieren, aber mache mir Sorgen um die Sicherheit meines Computers. Was ich so gelesen habe soll das ja sehr unsicher (ungeschützt gegen Zugriffe von außen) sein. Hat da jemand nähere Infos bzw. Tipps?
Wenns was hilft: Ich habe Win7, verbinde über einen Internet-Stick und verwende die Windows Firewall + Win7 Firewall Control (leider nicht die Plus-Version).
Vielen Dank im Voraus! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Warum übst du PHP nicht einfach auf Lima-City? Dann brauchst du dir keine Gedanken darüber zu machen.
Mach dir einfach einen Unterordner, den niemand sehen kann außer du und dann kannst du schön lernen.
Beitrag zuletzt geändert: 19.5.2012 0:48:17 von fuhnefreak -
fuhnefreak schrieb:
Warum übst du PHP nicht einfach auf Lima-City? Dann brauchst du dir keine Gedanken darüber zu machen.
Erstens weil ich keine Lust habe die Dateien für jeden einzelnen Test hochzuladen. Des Weiteren weil XAMPP auch generell für das Erstellen von Webseiten hilfreich sein soll, da man nicht so viele Umstände wegen den Pfadangaben hat. -
So lange du die Ports von XAMPP per Firewall für Zugriff von außen blockst und (noch besser) hinter einem NAT sitzt, der Verkehr von außen nicht explizit auf deinen Rechner auf den entsprechenden XAMPP-Ports weiter leitet ist das eine sichere Angelegenheit.
Übrigens ist XAMPP gerade durch die, für einen offenen Server, recht sicherheitsschwache Konfiguration gut zum Testen auf Sicherheitslücken in der selbst geschriebenen Software.
Warum übst du PHP nicht einfach auf Lima-City?
Das Üben auf einem öffentlichen Server ist übrigens denkbar schwachsinnig. Zu oft werden schwach gesicherte Applikationen Einfallstor für Hacker. -
Zu Win7 kann ich keine Aussage machen. Aber vielleicht mal folgende Gedanken die vielleicht helfen.
Apache, MySQL, PHP etc. laufen gewöhnlich in 'freier Wildbahn' auf Linux. Die meisten Webserver sind Linuxrechner. Warum also nicht gleich eine kleine Linuxkiste aufsetzen, statt sich mit Sicherheitsbedenken rumzuschlagen? Dafür reicht ein wirklich kleiner bescheidener alter Rechner.
Du brauchst auch keinen zweiten Monitor oder eine Tastatur (vielleicht nur beim installieren), Du kannst alles prima per Putty von Win aus administrieren.
Das hat mehrere Vorteile:
1. Du lernst ein neues System kennen
2. Du schließt gleich mehrere Fehlerquellen aus (z.B. Groß-/Kleinschreibung - Win nimmt es da nicht so genau, was Dir Probleme bereiten kann, wenn Du Deine Seiten irgendwann mal ins Netz stellen willst)
3. Der Webserver läuft auf dem System auf dem er später im Netz auch laufen wird, falls Du Dein Seiten ins Netz stellen willst
Grüße
marmota
Beitrag zuletzt geändert: 19.5.2012 0:56:46 von marmota -
Bei mir läuft XAMPP ebenfalls unter Windows 7. Ich sitze allerdings hinter einem Router, der einfach keine Anfragen von Außen durch lässt. Demnach kann da wenig passieren.
Wenn du dir unsicher bist oder direkt am Netz hängst, kannst du die Windows-Firewall darauf konfigurieren oder einfach eine .htaccess mit Deny from all, Allow from 127.0.0.1, ::1 erstellen. ( Was allerdings nur den HTTP-Server betrifft. )
Zudem hat XAMPP einige Dienste, die du gar nicht brauchst. Beispielsweise FTP und Mail-Server sind da eher unsinnig, wenn man nicht explizit etwas damit vor hat. Selbst den SQL-Server kann man auslagern. ( Lima erlaubt afaik auch externe Zugriffe )
So bliebe nur noch der HTTP-Server, der eine Schwachstelle darstellen könnte, den man aber per .htaccess auch durch Zugriff von Außen mehr oder weniger schützen kann. ( Wobei man auch da einiges drehen könnte, aber da würde ich mir jetzt nicht so große Sorgen machen. )
Also Prinzipiell: Alle Dienste deaktivieren, die du nicht brauchst. Wenn du die Seite später auf Lima stellen willst, bietet es sich an, gleich den SQL-Server von Lima zu verwenden, dann musst du deine Daten nicht erst neu drauf spielen. Zudem erspart es deinem Rechner einen Dienst. FTP und Mail sind meiner Meinung nach für Webentwicklung unerheblich, können also auch abgeschaltet werden.
Dann eine Firewall, bzw. einen Router, der keine Anfragen durch lässt und ein Verzeichnisschutz in den htdocs... Dann sollte nichts mehr passieren können.
Der Vorschlag, Linux zu installieren ist auch nicht schlecht, aber für viele denke ich schlicht zu viel Aufwand. -
Ruf mal die Seite von Xampp auf.
[url]http://localhost/xampp[/url]
Dort gibt es einen Sicherheitscheck.
Dort kannst du auch das MySQL-Password ändern und einen Verzeichnissschutz für die URL http://localhost/xampp/ anlegen.
Den Mail- und FTP-Server kannst du ja aus lassen.
Beitrag zuletzt geändert: 19.5.2012 9:06:12 von bems -
Du gehst in die httpd-xampp.conf und schreibst rein, bzw änderst n bissel zu:
<LocationMatch "^/(?i:(?:security))">
Order deny,allow
Deny from all
Allow from ::1 127.0.0.0/8
ErrorDocument 403 /error/HTTP_XAMPP_FORBIDDEN.html.var
</LocationMatch>
Dadurch hast nurnoch du zugriff auf den HTTP-Host. FTP brauchst du garnichterst starten, weil du ja direkt in den Ordner speichern kannst, und MySQL versiehst du mit einem Passwort. Die Datenbank ist glaub ich so schon nicht von außen erreichbar. Ansonsten gibts da noch eine mysql.conf in der du den Zugriff von außen verbieten kannst, musst mal schauen. Dannach einfach alles neu starten und es ist sicher konfiguriert :)
Liebe Grüße -
Perfekt, vielen Danke für eure Antworten!
Aber wieso braucht XAMPP eigentlich Zugang zum Internet? An sich spielt sich das alles ja nur auf meinem PC ab... -
Theoretisch könnte man auch deine Seite auf deinem PC von draußen Besuchen, also fast ein kleiner Home-Server.
-
bems schrieb:
Allerdings darfst du dann keine Sicherheitslücken in deinen Scripten haben, genauso musst du alle Passwörter ändern...
Theoretisch könnte man auch deine Seite auf deinem PC von draußen Besuchen, also fast ein kleiner Home-Server.
yorecords schrieb:
XAMPP braucht doch gar keinen Zugang zum Internet! Ohne Internet-Zugang musst du dir nicht einmal Gedanken wegen der Sicherheit machen (obwohl du das natürlich trotzdem machen solltest)...
Aber wieso braucht XAMPP eigentlich Zugang zum Internet? An sich spielt sich das alles ja nur auf meinem PC ab... -
yorecords schrieb:
Hallo!
Ich habe vor auf meinem PC zum PHP-lernen XAMPP zu installieren, aber mache mir Sorgen um die Sicherheit meines Computers. Was ich so gelesen habe soll das ja sehr unsicher (ungeschützt gegen Zugriffe von außen) sein. Hat da jemand nähere Infos bzw. Tipps?
Wenns was hilft: Ich habe Win7, verbinde über einen Internet-Stick und verwende die Windows Firewall + Win7 Firewall Control (leider nicht die Plus-Version).
Vielen Dank im Voraus!
Nun eine Idee hätte ich noch. Setz dir bveispielsweise mit VirtualBox ein virtuelles Windows auf, gib dem Virtuellen Windows keine Internetverbindung und lad dir dort rein dein XAMPP. So hast du ne recht sichere Umgebung zum Testen ohne daß du viel konfigurieren brauchst. -
kalinawalsjakoff schrieb:
Aber wenn du das XAMPP einfach mit einer Firewall-Regel blockst ist das auf jeden Fall weniger Arbeit als dafür extra eine VM aufzusetzen...
Setz dir bveispielsweise mit VirtualBox ein virtuelles Windows auf, gib dem Virtuellen Windows keine Internetverbindung und lad dir dort rein dein XAMPP. So hast du ne recht sichere Umgebung zum Testen ohne daß du viel konfigurieren brauchst. -
Hallo
Da passiert nix. Niemand findet zufällig deine IP-Adresse und versucht dann zum Spaß deine Seite zu hacken. Bots machen sowas vielleicht aber die sind eher auf Sicherheitslücken in nicht-geupdateten CMS-en spezialisiert. Wie schon erwähnt wurde kann sowieso keiner auf den HTTP-Server zugreifen wenn du die Ports nicht öffnest. Aber selbst wenn, das Risiko ist schwindend gering. Auch müsstest du dann erst einmal eine Sicherheitslücke erschaffen, was gar nicht so einfach ist.
mfg -
voloya schrieb:
Eine Sicherheitslücke schaffen ist doch gar nicht so schwer, meistens fällt es dem Entwickler aber nicht auf...
Auch müsstest du dann erst einmal eine Sicherheitslücke erschaffen, was gar nicht so einfach ist.
Wenn irgendwer einen netscan macht wird er deinen Server zwar finden, allerdings hast du normalerweise eine dynamische IP, und so nützt dem Angreifer die IP nur für kurze Zeit.
Was passiert aber wenn MySQL vom Internet erreichbar ist und das root-Passwort nicht verändert wurde? Dann kann jeder vom Internet aus auf alle deine Datenbanken zugreifen und damit machen was er will... -
Hallo
hackyourlife schrieb:
Was passiert aber wenn MySQL vom Internet erreichbar ist und das root-Passwort nicht verändert wurde? Dann kann jeder vom Internet aus auf alle deine Datenbanken zugreifen und damit machen was er will...
Dafür müsste man doch bestimmt noch einen anderen Port außer 80 öffnen, oder? 3306, wie ich das jetzt auf den ersten Blick sehe. Da man aber eh über localhost auf MySQL zugreifen kann..
mfg -
voloya schrieb:
Ein Port nach außen ist schnell geöffnet...
Dafür müsste man doch bestimmt noch einen anderen Port außer 80 öffnen, oder? 3306, wie ich das jetzt auf den ersten Blick sehe.
voloya schrieb:
Sobald man seine PHP-Scripten nicht mehr unter dem Benutzer root laufen lässt muss man sich einen eigenen MySQL-User anlegen, und dort kann es auch schnell passieren, dass der Zugriff nicht nur von localhost erlaubt wird...
Da man aber eh über localhost auf MySQL zugreifen kann..
Unsicher kann man den Server also sehr schnell machen -
yorecords schrieb:
Perfekt, vielen Danke für eure Antworten!
Aber wieso braucht XAMPP eigentlich Zugang zum Internet? An sich spielt sich das alles ja nur auf meinem PC ab...
Seit wann braucht XAMPP Zugang zum Netz?
Auf meinem Arbeitslaptop, welchen ich immer mitschleppe gibt es kein Inet und trotzdem kann ich es ganz normal nutzen als wenn ich zu Hause wäre!?
Hab ich was verpasst? -
Nö, hast schon Recht. Man kann mit XAMPP rein local arbeiten.
-
hackyourlife schrieb:
XAMPP braucht doch gar keinen Zugang zum Internet! Ohne Internet-Zugang musst du dir nicht einmal Gedanken wegen der Sicherheit machen (obwohl du das natürlich trotzdem machen solltest)...
Dochj doch. Komischerweise. Wenn ich nämlich den Apache HTTP Server und mysqld.exe mit der Firewall blockiere, kann ich den localhost nicht aufrufen. Hat mich ja auch gewundert, ist aber so.
kalinawalsjakoff schrieb:
Nun eine Idee hätte ich noch. Setz dir bveispielsweise mit VirtualBox ein virtuelles Windows auf, gib dem Virtuellen Windows keine Internetverbindung und lad dir dort rein dein XAMPP. So hast du ne recht sichere Umgebung zum Testen ohne daß du viel konfigurieren brauchst.
Das ist an sich eine super Idee, bis auf ein paar Kleinigkeiten. Aber dazu dürfte das oben erwähnte Problem nicht existieren...
hackyourlife schrieb:
Aber wenn du das XAMPP einfach mit einer Firewall-Regel blockst ist das auf jeden Fall weniger Arbeit als dafür extra eine VM aufzusetzen...
Wie gesagt, geht nicht.
voloya schrieb:
Hallo
Da passiert nix. Niemand findet zufällig deine IP-Adresse und versucht dann zum Spaß deine Seite zu hacken. Bots machen sowas vielleicht aber die sind eher auf Sicherheitslücken in nicht-geupdateten CMS-en spezialisiert. Wie schon erwähnt wurde kann sowieso keiner auf den HTTP-Server zugreifen wenn du die Ports nicht öffnest. Aber selbst wenn, das Risiko ist schwindend gering. Auch müsstest du dann erst einmal eine Sicherheitslücke erschaffen, was gar nicht so einfach ist.
mfg
Naja, ich glaub eher, dass das gar nicht so schwer ist.. Vor allem wenn man gerade dabei ist PHP zu lernen und alle möglichen Sachen zu probieren ohne wirklich Ahnung davon zu haben.
hackyourlife schrieb:
Wenn irgendwer einen netscan macht wird er deinen Server zwar finden, allerdings hast du normalerweise eine dynamische IP, und so nützt dem Angreifer die IP nur für kurze Zeit.
Was passiert aber wenn MySQL vom Internet erreichbar ist und das root-Passwort nicht verändert wurde? Dann kann jeder vom Internet aus auf alle deine Datenbanken zugreifen und damit machen was er will...
Das mit der dynamischen IP stimmt.. Daran hatte ich nicht gedacht. Ein Passwort hab ich jetzt eh schon festgelegt, und vorerst brauche ich eh keine Datenbanken.
trickdieb schrieb:
Seit wann braucht XAMPP Zugang zum Netz?
Auf meinem Arbeitslaptop, welchen ich immer mitschleppe gibt es kein Inet und trotzdem kann ich es ganz normal nutzen als wenn ich zu Hause wäre!?
Hab ich was verpasst?
Oh oh... Meint ihr muss ich mir Sorgen machen? Wie gesagt brauchen "Apache HTTP Server" und "mysqld.exe" eine Verbindung zum Internet, sonst geht nichts... Kann es vielleicht sein, dass das nur bei der neuesten Version so ist? Aber die Frage wäre da wozu? Das hat ja keinen Sinn.
Ich mach es jetzt halt immer so, dass ich wenn ich gerade mit XAMPP arbeite die Verbindung erlaube, und danach sofort wieder verbiete. Des weiteren läuft der Apache eh nicht die ganze Zeit. Ich aktiviere ihn nur wenn ich ihn brauche.
Gibt es vielleicht irgendeine Möglichkeit den Zugang generell nur von localhost zu erlauben?
Das was ggamee vorher geschrieben hat steht sowieso schon von Haus aus in der httpd-xampp.conf. Hat es sich damit schon erledigt? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage