IIS-Firewall von EEYE

[Franz Eschbach]

Hat mal einer die IIS-Firewall von EEYE getestet ?
Würde mich mal jucken ob das überhaupt was bringt
und ob eine reine Firewall wie z.B WachtGuard da
doch erhebliche Vorteile bietet. Wenn dazu jemand
etwas input hat, bitte ich um Information.

Gruss Franz

[Felix von Leitner]

Thus spake Franz Eschbach (bom...@free-mailer.de):

Jemandem mit deinem Kenntnisstand bringt keines der Produkte
irgendetwas.

[Jonas Luster]

Hence, Franz Eschbach spoke:

eeye ist eine Ambulance-Chaser-Firma. 'nuff said.

--
Jonas M. Luster -- jlu...@baysec.org -- +1 408 768 4148
1024D/8B06BE75 2001-02-09 -- 0E0A 8672 78B5 DB9F A911 1C04 2E20 4C9B 8B06 BE75
All work and no play makes Jonas an angry boy! http://www.baysec.org

[Felix Deutsch]

Franz Eschbach wrote:

Wer möchte, kann die Wirksamkeit dieses Produkts hier testen:
http://www.vwip.org/images/a_ground.htm

(link von http://www.vwip.org/topictop.html)

Man fragt sich, was an dem URL so ungewöhnlich ist, daß er diese
eigenwillige Heuristik triggert.

Felix
--
schafft ein, zwei, viele CR

[Felix Deutsch]

Felix Deutsch wrote:

*grrr*

>Wer möchte, kann die Wirksamkeit dieses Produkts hier testen:
> http://www.vwip.org/images/a_ground.htm
>
>(link von http://www.vwip.org/topictop.html)
>
>Man fragt sich, was an dem URL so ungewöhnlich ist, daß er diese
>eigenwillige Heuristik triggert.

Nachtrag:
Es ist ein einfaches 404 (http://www.vwip.org/images/a_ground-1.htm
existiert), also hat das Ding wohl entweder eine Whitelist oder wirft
diese Standardpage beim 404 zurück. Nifty. NOT.

>Felix

[Franz Eschbach]

"Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
news:3b81...@fefe.de...

Du kannst sogar schon schreiben.... wuff

[Urs [Ayahuasca] Traenkner]

Franz Eschbach wrote:

> "Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
> news:3b81...@fefe.de...

Du weisst aber schon, warum sich das attribution _line_ schimpft?

> > Thus spake Franz Eschbach (bom...@free-mailer.de):
> > > Hat mal einer die IIS-Firewall von EEYE getestet ?
> > > Würde mich mal jucken ob das überhaupt was bringt
> > > und ob eine reine Firewall wie z.B WachtGuard da
> > > doch erhebliche Vorteile bietet. Wenn dazu jemand
> > > etwas input hat, bitte ich um Information.

> > Jemandem mit deinem Kenntnisstand bringt keines der Produkte
> > irgendetwas.

> Du kannst sogar schon schreiben.... wuff

Im Prinzip hat er Recht.

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm

Solange Du hier nicht schreibst, was Dein konzeptionelles Problem
ist (lass mich raten: Du nutzt eine "Firewall" auf demselben
Rechner wie Du arbeitest / surfst, Du arbeitest als root,
saemtliche Software laeuft unter root und Deine Firewall laeuft
logischerweise auch unter root? --> Tonne), wird Dir keiner
helfen koennen.

Ich bin ja geneigt, Dir folgende (100 Prozent sicher!) Varianten
zu empfehlen:

engl.: http://www.dumbentia.com/pdflib/scissors.pdf
dt.: http://www.home.pages.at/heaven/absolut.htm

Gruss Urs...
--
Klug und fleissig - Illusion
klug und faul - das eher schon
dumm und faul - der meisten Laster
dumm und fleissig - ein Desaster
<9kr3un$5lgmi$1...@ID-13535.news.dfncis.de>

[Franz Eschbach]

"Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> schrieb im
Newsbeitrag news:9lt5k0$ebq$1...@piggy.rz.tu-ilmenau.de...

> Franz Eschbach wrote:
>
> > "Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
> > news:3b81...@fefe.de...
>
> Du weisst aber schon, warum sich das attribution _line_ schimpft?
>
> > > Thus spake Franz Eschbach (bom...@free-mailer.de):
> > > > Hat mal einer die IIS-Firewall von EEYE getestet ?
> > > > Würde mich mal jucken ob das überhaupt was bringt
> > > > und ob eine reine Firewall wie z.B WachtGuard da
> > > > doch erhebliche Vorteile bietet. Wenn dazu jemand
> > > > etwas input hat, bitte ich um Information.
>
> > > Jemandem mit deinem Kenntnisstand bringt keines der Produkte
> > > irgendetwas.
>
> > Du kannst sogar schon schreiben.... wuff
>
> Im Prinzip hat er Recht.
>
> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
> http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm
>
> Solange Du hier nicht schreibst, was Dein konzeptionelles Problem
> ist (lass mich raten: Du nutzt eine "Firewall" auf demselben
> Rechner wie Du arbeitest / surfst, Du arbeitest als root,
> saemtliche Software laeuft unter root und Deine Firewall laeuft
> logischerweise auch unter root? --> Tonne), wird Dir keiner
> helfen koennen.

Danke für die ( höfliche ) Antwort , Nein ich arbeite nicht in einer
von dir angedeuteten Umgebung, hänge hinter einer Watchguard
( zwar nur eine ältere FB 2 ), wurde jedoch von einem Kollegen
drauf angesprochen, weil er das Tool mal testen wollte und es
bisher nicht im Einsatz gesehen habe, zudem habe ich nichts mit
dem IIS 4 und 5 nichts zu tun. Daher die, wenn auch nicht regel-
gerechte, Frage mal in den Raum gestellt um evtl. Erfahrungen
darüber zu bekommen. Wenn ich alles kennen würde, müsste
ich kaum Fragen stellen und die Hilfe der Profis ist mehr Wert
als ein PRessebericht Dritter....

Gruss

[Nicholas Preyß]

Urs [Ayahuasca] Traenkner wrote:

> dt.: http://www.home.pages.at/heaven/absolut.htm

Vielleicht sollte man diese Anleitung mal in den Zeiten von USV, Irda
und 802.11 anpassen...

nicholas

--
Falls ich jemals Anhänger für einen heiligen Krieg brauchen sollte,
werde ich sie sicher aus de.comp.security.firewall rekrutieren.

[Urs [Ayahuasca] Traenkner]

Franz Eschbach wrote:

> "Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> schrieb:

> > > > Thus spake Franz Eschbach (bom...@free-mailer.de):
> > > > > Hat mal einer die IIS-Firewall von EEYE getestet ?
> > > > > Würde mich mal jucken ob das überhaupt was bringt
> > > > > und ob eine reine Firewall wie z.B WachtGuard da
> > > > > doch erhebliche Vorteile bietet. Wenn dazu jemand
> > > > > etwas input hat, bitte ich um Information.

> > Solange Du hier nicht schreibst, was Dein konzeptionelles Problem

> > ist (lass mich raten: Du nutzt eine "Firewall" auf demselben
> > Rechner wie Du arbeitest / surfst, Du arbeitest als root,
> > saemtliche Software laeuft unter root und Deine Firewall laeuft
> > logischerweise auch unter root? --> Tonne), wird Dir keiner
> > helfen koennen.

> Danke für die ( höfliche ) Antwort , Nein ich arbeite nicht in einer
> von dir angedeuteten Umgebung, hänge hinter einer Watchguard
> ( zwar nur eine ältere FB 2 ),

http://www.securityfocus.com und mal nach "watchguard exploit"
suchen. Ich kann mich an einen etwas aelteren Thread hier
erinnern (bzw. glaube, mich erinnern zu koennen), dass watchguard
gelegentlich wegen unsauberem Kernel (lief das nicht ein Linux
2.0 oder sowas drin?) unangenehm aufgefallen ist.

Angabe ohne Gewaehr.

> wurde jedoch von einem Kollegen
> drauf angesprochen, weil er das Tool mal testen wollte und es
> bisher nicht im Einsatz gesehen habe,

Dito: securityfocus und "IIS firewall exploit" suchen. "IIS
exploit" duerfte nicht reichen, es sei denn, Du willst unbedingt
hunderte Nachrichten zu code red lesen :)

> zudem habe ich nichts mit
> dem IIS 4 und 5 nichts zu tun.

Also doch!

Dein mangelndes Gespuer fuer Logik verraet den konzeptionellen
Fehler.

> Daher die, wenn auch nicht regel-
> gerechte, Frage mal in den Raum gestellt um evtl. Erfahrungen
> darüber zu bekommen.

Diesbezueglich kann ich leider nicht weiterhelfen, da ich dieses,
aeh, Dings (wasauchimmeresist) nicht kenne.

> Wenn ich alles kennen würde, müsste
> ich kaum Fragen stellen und die Hilfe der Profis ist mehr Wert
> als ein PRessebericht Dritter....

Da magst Du wohl recht haben.

[schnipp den Rest]

Nicht sinngebende Passagen bitte beim Quoting entfernen.
Signaturen sowieso.

[Felix von Leitner]

Thus spake Jonas Luster (jlu...@baysec.org):

> eeye ist eine Ambulance-Chaser-Firma. 'nuff said.

Hey, die haben mehr geleistet als die meisten anderen "Security"-Firmen.
Sie haben immerhin einen Mitarbeiter, der mit IDA umgehen kann, und sie
haben einen, der Shellcode schreiben kann.

Felix

[Felix von Leitner]

Thus spake Felix Deutsch (fel...@netcomcity.de):

> Nachtrag:
> Es ist ein einfaches 404 (http://www.vwip.org/images/a_ground-1.htm
> existiert), also hat das Ding wohl entweder eine Whitelist oder wirft
> diese Standardpage beim 404 zurück. Nifty. NOT.

Was ist gegen eine Whitelist vor dem Webserver zu sagen?

Außer der unnötigen zusätzlichen Komplexität und Bug-Wahrscheinlichkeit,
natürlich.

[Felix von Leitner]

Thus spake Franz Eschbach (bom...@free-mailer.de):
> > > Hat mal einer die IIS-Firewall von EEYE getestet ?
> > > Würde mich mal jucken ob das überhaupt was bringt
> > > und ob eine reine Firewall wie z.B WachtGuard da
> > > doch erhebliche Vorteile bietet. Wenn dazu jemand
> > > etwas input hat, bitte ich um Information.
> > Jemandem mit deinem Kenntnisstand bringt keines der Produkte
> > irgendetwas.
> Du kannst sogar schon schreiben.... wuff

Hey, "bomber", das hast du aber _toll_ geschrieben!
Prima, was du für eine dicke Hose hast.


Falls dir ein paar Jahren ein Gehirn gewachsen ist, kannst du vielleicht
diese Argumentation nachvollziehen:

1. wenn du Watchguard für eine Firewall hälst, hast du keine Ahnung
2. wenn du die Produkte von Watchguard irgend einem anderen Produkt
für überlegen hälst, hast du keine Ahnung.
3. wenn du IIS fährst, hast du keine Ahnung
4. wenn du IIS sichern willst, indem du eine Firewall davor tust, hast
du keine Ahnung.
5. wenn du eine Application Level Firewall überhaupt mit einem
Paketfilter zu vergleichen versuchst, hast du keine Ahnung.

Kurz: -100 Punkte für den Kandidaten, du bist so ziemlich das
unterbelichtetste, was hier in den letzten Monaten reingeschneit ist.

[x] FOAD.

Felix

[Franz Eschbach]

> Hey, "bomber", das hast du aber _toll_ geschrieben!
> Prima, was du für eine dicke Hose hast.
>
>
> Falls dir ein paar Jahren ein Gehirn gewachsen ist, kannst du vielleicht
> diese Argumentation nachvollziehen:

Also solche hochinteligenten Jungs wie du bringen mich immer wieder ans
staunen. Respekt vor deinen Wissen, scheinst aber das Gehirn voller IP und
Ports zu haben. Deine Anwort zeigt, dass du mangels sozialer Kontakte mehr
mit dem Dünndarm denkst und mit dem Schliessmuskel redest / schreibst.
Bildest du dir ein dir gehört hier alles, nicht wiklich oder. Deine Angriffe
rücke ich mal in die Rubrik unzurechnunsfähiger Dauer-PC-Freak. Habe mir
mal die überflüsige Zeit genommen deine Angriffe auf hilfesuchende User
zu lesen, unterm Strich bist du doch mehr ne Zeitbombe ohne Anschluss an
die Öffentlichkeit dem die Wunden an den Händen sowie Füssen langsam verheilt
sind. Damit meine ich, dass du ja ein Gott zu sein scheinst, mit der Aroganz eines
Übermenschen der frisch vom Kreuz entflohen ist und noch die heiligen Wundmale
trägt. Übrigens gibts für solche Zwecke Menschen in weissen Kittel und (meist)
mit einem Doktortitel, könnte dir nicht schaden mal etwas Vernunft zu tanken. Das
Usenet hat zwar Regel die sicher nicht jeder beachtet, aber Jesus bis du noch
lange nicht. Du vergreifst dich mächtig im Ton und gehst zudem unter die Linie
die du hier selber als Regel aufstellst. Geh dir mal ein Bier trinken, das belebt
die Verdauung und die Laune. Naja darf auch ne Coke sein... Deinen privaten
Frust lässt du am falschen Ort aus, hier suchen sicher einige andere auch Hilfe
und du bist mit dem Ton fehl am Platz, nimm doch die Kraft und helfe denen
die die Hilfe suchen und verbrate so mal deine Energie und hohes Mass an
Wissen. Das sieht fast nach einem 14-jährigem Profi aus der einfach nur noch
Probleme mit seiner Umwelt und seinem Umfeld hat. Irgendwann kommst auch
du mal auf den Trichter, man trifft sich immer 2 mal im Leben Herr von Leitner.

Dir wünsche ich besser mal alles gute im Leben und für die Zukunft....

>
> 1. wenn du Watchguard für eine Firewall hälst, hast du keine Ahnung
> 2. wenn du die Produkte von Watchguard irgend einem anderen Produkt
> für überlegen hälst, hast du keine Ahnung.
> 3. wenn du IIS fährst, hast du keine Ahnung
> 4. wenn du IIS sichern willst, indem du eine Firewall davor tust, hast
> du keine Ahnung.
> 5. wenn du eine Application Level Firewall überhaupt mit einem
> Paketfilter zu vergleichen versuchst, hast du keine Ahnung.

Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
anregen und realisieren können. Alles zu seiner Zeit, das sollte jemand mit
deinem Wissen ja wohl auch für eine Punkt halten, den keiner mal eben
umwirft....

>
> Kurz: -100 Punkte für den Kandidaten, du bist so ziemlich das
> unterbelichtetste, was hier in den letzten Monaten reingeschneit ist.
>

Den Satz dokumentiere ich nicht aus, dafür gibt es Spiegel in deiner Wohnung...

[Felix Schlesinger]

Franz Eschbach schrieb

[viel Geheul über fefe]

Lass das bitte. Das ist extrem OT und nervt. Wenn Fefe dich stört, dann
filter ihn, oder mach sonst was.

>> 1. wenn du Watchguard für eine Firewall hälst, hast du keine Ahnung
>> 2. wenn du die Produkte von Watchguard irgend einem anderen Produkt
>> für überlegen hälst, hast du keine Ahnung.
>> 3. wenn du IIS fährst, hast du keine Ahnung
>> 4. wenn du IIS sichern willst, indem du eine Firewall davor tust, hast
>> du keine Ahnung.
>> 5. wenn du eine Application Level Firewall überhaupt mit einem
>> Paketfilter zu vergleichen versuchst, hast du keine Ahnung.
>
>
> Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
> einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
> anregen und realisieren können. Alles zu seiner Zeit, das sollte jemand mit
> deinem Wissen ja wohl auch für eine Punkt halten, den keiner mal eben
> umwirft....

Ich welchem Umfeld bist du? Eines das einen IIS mit Watchguard sichert?
Dann *muss* man alles sofort umwerfen, alles andere währe grob
fahrlässig.
Oder halt kündigen, siehe die FAQ.

Ciao
Felix

[Urs [Ayahuasca] Traenkner]

Franz Eschbach wrote:

[schnips Flame zu Fefe]

Tragt das per PM aus.

> > 1. wenn du Watchguard für eine Firewall hälst, hast du keine Ahnung
> > 2. wenn du die Produkte von Watchguard irgend einem anderen Produkt
> > für überlegen hälst, hast du keine Ahnung.
> > 3. wenn du IIS fährst, hast du keine Ahnung
> > 4. wenn du IIS sichern willst, indem du eine Firewall davor tust, hast
> > du keine Ahnung.
> > 5. wenn du eine Application Level Firewall überhaupt mit einem
> > Paketfilter zu vergleichen versuchst, hast du keine Ahnung.

> Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
> einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
> anregen und realisieren können.

Fefe wuerde, wenn er das duerfte, sofort den Stecker aus der Wand
ziehen (nicht den, wo Strom durchgeht, sondern den, wo Internet
durchgeht), und wenn er das nicht duerfte, wuerde er (je nach
Tag):

a) schreiend wegrennen
b) den Verantwortlichen teeren und vierteilen
c) ablehnen, an solch einer Konzeption dran rumzufummeln

(was vergass ich?)

Und womit? Mit Recht.

> Alles zu seiner Zeit, das sollte jemand mit
> deinem Wissen ja wohl auch für eine Punkt halten,
> den keiner mal eben umwirft...

Solange Du nicht persoenlich haftbar gemacht werden kannst fuer
irgendwas, was mit Euerm Netz passiert, ist es ja gut.

> > Kurz: -100 Punkte für den Kandidaten, du bist so ziemlich das
> > unterbelichtetste, was hier in den letzten Monaten reingeschneit ist.

> Den Satz dokumentiere ich nicht aus, dafür gibt es Spiegel in deiner Wohnung...

Fefe at its best^Wberserkest.

[abschweif]
Falls Du mal meine unmassgebliche Meinung hoeren moechtest, in
der "richtigen" Serverlandschaft hat Windows IMO ueberhaupt
nichts zu suchen.

Ich hatte vorgestern ein Gespraech mit jemandem, der fuer das
Arbeitsamt Kurse in Sachen Windows gibt (Bedienung, Word, Excel
und der ganze Schruuuutz). Ist in Sachen Windows wirklich fit,
kein MSCE, deswegen faehig (oder so aehnlich).

Gespraech lief in etwa so:

[vorheriges Blabla nicht massgeblich]
Er: Windows ist in manchen Bereichen nicht ersetzbar.
Ich: Klar.
Er: Wer sagt, Linux waere besser als Windows, luegt.
Ich: Klar.
Er: Was Linux kann, kann Windows auch.
Ich: Moment! Wenn das Anwendungsprofil $blablabla
[Stunden spaeter]
Er: Windows 2000 ist ein guter Internetserver.
Ich: Aha, deswegen ist code red so erfolgreich.

Seinem Gesicht konnte ich _sehr_ deutlich ansehen, dass er nicht
wusste, wovon ich rede.

Dann kam noch das uebliche "Linux hat auch exploits, da waere das
genauso moeglich, das ist nicht die Schuld von Windows" usw., man
kennt das ja. Mit der philosophischen Betrachtung von Computer ==
komplexes Haushaltsgeraet / Windows == klickibunti-Administration
brauchst Du solchen Leuten latuernlich gar nicht erst kommen, die
verstehen das eh nicht.
[/abschweif]

Windows ist sehr gut fuer Leute geeignet, die was zum Daddeln
wollen. Die Installation von $Kram darf nicht zu schwierig sein,
ansonsten bunt, laut, 3D, schiessmichtot. Nebenbei: dass Windows
da die Nase vorn hat, liegt an der Softwarelandschaft, nicht an
Windows.

In einem ernsthaften Produktionssystem hat Windows als Server
fuer's INternet IMO nichts zu suchen. In kleinen Netzwerken, wo
am Gateway noch einer sitzt und nebenbei Dinge tut, ist das was
anderes. Da mag das gehen. Da bietet man aber gewoehnlich auch
keine Dienste nach aussen an.

Womit wir (mal wieder) bei der Frage waeren: wozu braucht ein
Server eine GUI?

Die Gegenfrage: "wie soll ich denn sonst >10 xterms auf den
Bildschirm kriegen" zieht nicht mehr. Die wurde mir in d.o.c. von
Volker Birk mit "screen" abgewuergt, ich stand da wie der Trottel
und er im netdigest. Nun ja.

Sorry fuer die Laenge. Gruss Urs...
--
Widerlich, adj. - Eigenart fremder Meinungen

Ambrose Bierce, Des Teufels Woerterbuch

[Rainer Weikusat]

"Franz Eschbach" <bom...@free-mailer.de> writes:
> > Falls dir ein paar Jahren ein Gehirn gewachsen ist, kannst du vielleicht
> > diese Argumentation nachvollziehen:
>
> Also solche hochinteligenten Jungs wie du bringen mich immer wieder ans
> staunen. Respekt vor deinen Wissen, scheinst aber das Gehirn voller IP und
> Ports zu haben.

Du bist Dir darüber im Klaren, des es einigermaßen albern wäre,
Fliesenlegern vorzuhalten, sie verbrächten ihre (Arbeits-)zeit mit
'Fliesen legen'?

> Deine Anwort zeigt, dass du mangels sozialer Kontakte mehr
> mit dem Dünndarm denkst und mit dem Schliessmuskel redest/
> schreibst.

[ more of the same ]

Der mehr oder minder geneigte Leser könnte insbesondere bezüglich des
Fäkaljargons zu anderen Schlüssen gelangen.

> > 4. wenn du IIS sichern willst, indem du eine Firewall davor tust, hast
> > du keine Ahnung.
>

> Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
> einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
> anregen und realisieren können.

Der Einfall ist blühender Blödsinn. 'IIS' heißt 'Webserver', dh der
_soll_ aus dem Internet erreichbar sein. Genau das stellt auch das
potentielle Problem da. Offensichtlich läßt sich hier unter
Berücksichtigung der Tatsache _Webserver_ nichts mit Sperren
irgendwelcher Art 'schützen' weil Du Dich logisch gesehen auf der
falschen Seite befindest.

Falls Du Deinen atemlosen Zorn demnächst wieder etwas gedrosselt
bekommen solltest, wäre das ein bedenkenswerter Punkt.

--
stone me

[Felix von Leitner]

Thus spake Franz Eschbach (bom...@free-mailer.de):

> Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
> einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
> anregen und realisieren können.

Wenn die Leute Unsinn machen und das nicht über Nacht ändern wollen,
dann steige ich da nicht ein. Ganz einfach.

Für solche Spielerchen ist mir meine Zeit zu schade.
Außerdem gibt es da ja Leute wie dich für, die dann ihre Zeit mit
Winseln verbringen, anstatt die Probleme anzupacken (oder auch nur zu
verstehen).

[Norbert Tretkowski]

* Urs [Ayahuasca] Traenkner wrote:
[...]

> Fefe wuerde, wenn er das duerfte, sofort den Stecker aus der Wand
> ziehen (nicht den, wo Strom durchgeht, sondern den, wo Internet
> durchgeht), und wenn er das nicht duerfte, wuerde er (je nach
> Tag):
> a) schreiend wegrennen
> b) den Verantwortlichen teeren und vierteilen
> c) ablehnen, an solch einer Konzeption dran rumzufummeln

Wenn er den Verantwortlichen eh schon vierteilt sollte es ihm egal sein
ob er den Stecker rausziehen darf, kann er dann auch noch machen.

[Franz Eschbach]

Trifft den Nagel aber echt auf den Kopf.

Ich habe viel mit Robotersteuerungen zu tun, ist zwar nur ein
simples altes DOS, aber rennt und rennt und rennt. Nun kommts,
die Hersteller stellen auf Windows um ( erster Versuch bei FORD
in Köln ) und etablieren wildeste Server- Hardware bis der Arzt
kommt.

1. Tag: nix läuft überhaupt

2. Tag: es läuft aber die Autos kommen recht hübsch bunt aus
der Lackstrasse ( Ultrakrasses Luigi-Design sach ich nur )...

3. Tag: Lack wird nicht verdünnt ( Makramee oder wie heisst das ? )

4. Tag: Es gibt erst garkeinen Lack ( war aber genug auf Lager )
und alle haben sich gewundert warum die gleich rosten auf dem
Prüfhof.

5. Tag alles läuft nun endlich

6. Tag: Windows hebt ab und fängt wie beim 1 Tag wieder an.

7. Tag: ich werde gerufen um DOS zu installieren ( und das auf einem
Rechner der mal ne halbe Mio. gekostet hat, aber beeindruckend
schnell, auch wenn nur eine der 8 CPU's gebraucht wird, den Rest
ala High-End mal ganz ausgelassen ( Nix Treiber und so für altes
System... selbst COMPAQ hat mich mal gefragt was ich um alles
in der Welt mit einem Treibersatz für DOS will )

8. Tag: Besprechung und hab mal LINUX / UNIX vorgeschlagen

9. Tag: Admin vor Ort kennt kein Linux, Server wird abgebaut und
in die CAD Abteilung verlegt, 486er steht nun ( allerdings endlich
mal gesäubert ) wieder da wie 2 Wochen zuvor und es arbeiten satte
4 MB und die tun es besser als die 4 GB in dem COMPAQ-Server

FAZIT: Versuch mal in solchen Umgebungen was zu bewegen, fast
unmöglich und da fasst man sich echt mal an den Schädel. Naja sind ja
auch an die 50 Grad da am Arbeitsplatz ( Server hatte intene Klima im Rack ).

Sorry für die Überlänge, aber zeigt doch wo der Hammer begraben liegt

Gruss

[Franz Eschbach]

"Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag

news:3b83...@fefe.de...

> Thus spake Franz Eschbach (bom...@free-mailer.de):
> > Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
> > einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
> > anregen und realisieren können.
>
> Wenn die Leute Unsinn machen und das nicht über Nacht ändern wollen,
> dann steige ich da nicht ein. Ganz einfach.
>

Hallo Felix, dann bitte ich dich einfach mal höflich mir / uns doch einmal
etwas an die Hand zu nehmen und mal Idealszenarios zum Schutz eines ( nur
ein einziger Webserver ) aufzuzeigen. Mein Interesse liegt weniger im Schutz
eines LAN was an das Web gekoppelt wurde, sondern mehr juckt es mich,
wie man denn eine ideale Umgebung mit Sicherheit und Schutz für dich
aussehen müsste. Ich habe mir deine Berichte mal angesehen und glaube das
du da ein hohes Mass an Wissen hast und würde da auch gerne mal drauf
hören. Testberichten zu glauben ist ja fast schon wie Farbenblindheit und wenn
Jungs aus der echten Materie mal etwas Wissen vermitteln, dann könnte man
sich auch zumindest in die richtige Richtung einlesen und einarbeiten. Einen
Chef kann man halt auch nur langsam in die passende Richtung kneten und
wenn der vorherige Kollege da alles was einfach und leicht ist genommen
hat ( meist alles überteuertes Zeug ), kann auch ich nur Vorschläge machen
und hoffen das die Mittel gelockert werden um es umzustellen.

Dir einen Gruss

[Felix von Leitner]

Thus spake Franz Eschbach (bom...@free-mailer.de):

> Hallo Felix, dann bitte ich dich einfach mal höflich mir / uns doch einmal
> etwas an die Hand zu nehmen und mal Idealszenarios zum Schutz eines ( nur
> ein einziger Webserver ) aufzuzeigen.

Ganz einfach:

- System mit halbwegs vertrauenswürdigem IP-Stack drauf
- möglichst kleinen, überschaubaren Webserver drauf, mit höchstens so
vielen Features, wie unbedingt benötigt werden.
- keine weiteren Dienste auf dem Server starten.
- nicht unbedingt benötigte Software deinstallieren.

Fertig.

> Mein Interesse liegt weniger im Schutz
> eines LAN was an das Web gekoppelt wurde, sondern mehr juckt es mich,
> wie man denn eine ideale Umgebung mit Sicherheit und Schutz für dich
> aussehen müsste.

Letztlich hängt alles davon ab, was du da für eine HTTP-Server-Software
drauf tust, weil man nicht so viel Wahl beim IP-Stack hat.

Felix

[Marc Haber]

"Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> wrote:
>Womit wir (mal wieder) bei der Frage waeren: wozu braucht ein
>Server eine GUI?
>
>Die Gegenfrage: "wie soll ich denn sonst >10 xterms auf den
>Bildschirm kriegen" zieht nicht mehr. Die wurde mir in d.o.c. von
>Volker Birk mit "screen" abgewuergt, ich stand da wie der Trottel
>und er im netdigest. Nun ja.

Nix. screen ist nicht ansatzweise so komfortabel wie ein vernünftiger
Windowmanager.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29

[Ulrich Eckhardt]

Franz Eschbach wrote:
>
> "Felix von Leitner" <usenet-...@fefe.de> schrieb im Newsbeitrag
> news:3b83...@fefe.de...
> > Thus spake Franz Eschbach (bom...@free-mailer.de):
> > > Nicht ganz falsch, aber wenn du in ein gemachtes und laufendes Umfeld
> > > einsteigst, wird auch ein Held wie du da keine über Nacht Verbesserungen
> > > anregen und realisieren können.
> >
> > Wenn die Leute Unsinn machen und das nicht über Nacht ändern wollen,
> > dann steige ich da nicht ein. Ganz einfach.
> >
>
> Hallo Felix, dann bitte ich dich einfach mal höflich mir / uns doch einmal
> etwas an die Hand zu nehmen und mal Idealszenarios zum Schutz eines ( nur
> ein einziger Webserver ) aufzuzeigen. Mein Interesse liegt weniger im Schutz
> eines LAN was an das Web gekoppelt wurde, sondern mehr juckt es mich,

Hi,

ich heisse zwar nicht Felix aber eventuell mal als konkretes Beispiel
kurz dargestellt für unser Webserver transcom.de und rgw-express.de.
Für transcom sind brauchen wir server sided includes, damit die
Seiten überall gleich aussehen. Für rgw ebenfalls ssi sowie php
da für Sendungsverfolgung Zugriffe auf eine Datenbank nötig sind.
Ergo werkelt da jetzt ein selbstcompilierter aktueller Apache
mit nur den wirklich benötigten modulen auf einem Linux 2.2.x
Wegen transcom haben wir erschweredn noch einen ftp server für
anonyous download, sowie ein paar normale ftp account auch für
upload. Dafür werkelt ein wu.ftpd auf der Kiste. Das ganze ist
hoffe ich mal ordentlich konfiguriert, der Server kann so schon
mal ans Netzt. Das muss auch so sein, da ich für Wartungsarbeiten
eventuell die Packetfilter auf dem border router abschalten
können muss.

Wegen der Standleitung ist ohnehin ein Router nötig. Da
ist eine Cisco 1600 im Einsatz. Auf der sind die eigentlichen
Packetfilterregeln installiert. Zwischen Webserver und
Datenbankserver/Internem Netz hängt zudem auch noch mal ein Packetfilter
(Linux 2.4.x mit iptables).

Als Hardware eine Cisco 1600 und ein ausgemusterter PC
und ein alter in ehren ergrauter Compaqserver.

> wie man denn eine ideale Umgebung mit Sicherheit und Schutz für dich
> aussehen müsste. Ich habe mir deine Berichte mal angesehen und glaube das
> du da ein hohes Mass an Wissen hast und würde da auch gerne mal drauf
> hören. Testberichten zu glauben ist ja fast schon wie Farbenblindheit und wenn

Eventuell beschreibst du mal deine konkreten Probleme.

> Jungs aus der echten Materie mal etwas Wissen vermitteln, dann könnte man
> sich auch zumindest in die richtige Richtung einlesen und einarbeiten. Einen
> Chef kann man halt auch nur langsam in die passende Richtung kneten und
> wenn der vorherige Kollege da alles was einfach und leicht ist genommen
> hat ( meist alles überteuertes Zeug ), kann auch ich nur Vorschläge machen
> und hoffen das die Mittel gelockert werden um es umzustellen.

Sicherheit muss nicht notwendigerweisse teuer sein. Das teuerste
sind hier in der Regel die Bücher im Bücherschrank.

Uli
--
Ulrich Eckhardt Tr@nscom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany

[Marc Haber]

"Franz Eschbach" <bom...@free-mailer.de> wrote:
>LAN was an das Web gekoppelt wurde,

Was meinst Du? Du redest wirr.

[Juergen P. Meier]

Marc Haber <mh+use...@zugschlus.de> wrote:
>"Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> wrote:
>>Womit wir (mal wieder) bei der Frage waeren: wozu braucht ein
>>Server eine GUI?
>>
>>Die Gegenfrage: "wie soll ich denn sonst >10 xterms auf den
>>Bildschirm kriegen" zieht nicht mehr. Die wurde mir in d.o.c. von
>>Volker Birk mit "screen" abgewuergt, ich stand da wie der Trottel
>>und er im netdigest. Nun ja.
>
>Nix. screen ist nicht ansatzweise so komfortabel wie ein vernünftiger
>Windowmanager.

In anderen worten: screen ist nicht bunt.

olwm+9xterms+screen=produktiv

Und bunt kann das auch, wenn man den xterms verschiedene -bg farben gibt.

Auf linux arbeite ich eh meist garnicht erst mit X11.

offtopic -> fup2p
Juergen
--
J...@lrz.fh-muenchen.de - "This World is about to be Destroyed!"

[Juergen P. Meier]

Ulrich Eckhardt <ulrich....@transcom.de> wrote:

[Realworldbericht]

>Sicherheit muss nicht notwendigerweisse teuer sein. Das teuerste
>sind hier in der Regel die Bücher im Bücherschrank.

Das teuerste ist in der Regel die Arbeitszeit.
Gefolgt von Lizenzkosten bei unverbesserlichen $PRODUKT-kaeufern,
und ganz am unteren Ende der Preisliste steht dann die Hardware.
Wie gesagt: "in der Regel" - nicht jeder installiert Paketfilter
auf einer GP7000 im vollausbau.

[Felix von Leitner]

Thus spake Marc Haber (mh+use...@zugschlus.de):

> Nix. screen ist nicht ansatzweise so komfortabel wie ein vernünftiger
> Windowmanager.

Huh?

[Felix von Leitner]

Thus spake Ulrich Eckhardt (ulrich....@transcom.de):

> Für transcom sind brauchen wir server sided includes, damit die
> Seiten überall gleich aussehen.

Inhaltlich (und grammatikalisch) falsch.
Ein statischer Webserver und ein triviales Perl-Script erfüllen den
gleichen Zweck. Wenn es nur darum geht, irgendwelches statischen
Textschiebereien zu machen, ist SSI unnötig.

> Für rgw ebenfalls ssi sowie php da für Sendungsverfolgung Zugriffe
> auf eine Datenbank nötig sind.

Wenn die Last nicht übermäßig ist, ist ein CGI besser als ein
Webserver-Plugin, weil eine saubere Trennung zwischen den Prozessen
geschieht.

> Wegen transcom haben wir erschweredn noch einen ftp server für
> anonyous download, sowie ein paar normale ftp account auch für
> upload. Dafür werkelt ein wu.ftpd auf der Kiste.

Ganz schlechte Idee. Lieber Up- und Download trennen und die Downloads
über einen vertrauenswürdigen anonymous-only ftpd wie z.B. publicfile
machen.

Und die meisten ftp-upload-Fälle kann man mit scp oder email-Attachments
erschlagen.

> Wegen der Standleitung ist ohnehin ein Router nötig.

Nein, wieso?

> Da ist eine Cisco 1600 im Einsatz. Auf der sind die eigentlichen
> Packetfilterregeln installiert.

Das würde ich nicht tun. Wenn ihr die Filterregeln braucht, dann tut
sie auf eine vertrauenswürdige Plattform. Von IOS haben nur die bösen
Warez-Hax0rs den Quellcode gesehen, und Cisco ist _kein_ Hersteller, der
für die Sicherheit seiner Produkte bekannt ist.

Es schadet nichts, da _auch_ drauf zu filtern, aber man sollte sich
nicht darauf verlassen.

> Zwischen Webserver und Datenbankserver/Internem Netz hängt zudem auch
> noch mal ein Packetfilter (Linux 2.4.x mit iptables).

D.h. Web- und Datenbankserver sind in einer DMZ, ja?
Gut.

> Sicherheit muss nicht notwendigerweisse teuer sein. Das teuerste
> sind hier in der Regel die Bücher im Bücherschrank.

Am teuersten ist die Arbeitszeit desjenigen, der sich seit Jahren damit
beschäftigt und sich auskennt.

Felix

[Robin S. Socha]

> Huh?

http://www.students.tut.fi/~tuomov/ion/

[Ulrich Eckhardt]

Felix von Leitner wrote:
>
> Thus spake Ulrich Eckhardt (ulrich....@transcom.de):

> Ein statischer Webserver und ein triviales Perl-Script erfüllen den

> gleichen Zweck. Wenn es nur darum geht, irgendwelches statischen
> Textschiebereien zu machen, ist SSI unnötig.

Die Textschiebereien sind leider nicht so ganz statischer Art. Abgesehen
davon brauche ich dann wieder perl auf dem Webserver.

> > Für rgw ebenfalls ssi sowie php da für Sendungsverfolgung Zugriffe
> > auf eine Datenbank nötig sind.
>
> Wenn die Last nicht übermäßig ist, ist ein CGI besser als ein
> Webserver-Plugin, weil eine saubere Trennung zwischen den Prozessen
> geschieht.

Im Prinzip korrekt. Aber mittels php kann ich mir zumindest
Perl sparen. Wobei ich die Möglichkeit hätte php auch als CGI
zu nutzen.

> Ganz schlechte Idee. Lieber Up- und Download trennen und die Downloads
> über einen vertrauenswürdigen anonymous-only ftpd wie z.B. publicfile
> machen.

Upload geht nur mit login, nicht als als anonymous und wird ohnehin nur
selten genutzt. Und die paar Leute die den upload nutzen sind so weit
vertrauenswürdig. Wobei ich den anonyous ftp aber ohnehin mal auf
einen extra Rechner legen will.

> Und die meisten ftp-upload-Fälle kann man mit scp oder email-Attachments
> erschlagen.

So richtig grosse E-Mail attachements will man nicht wirklich haben,
wenn an an einer 64k Leitung hängt, deshalb der Austausch über ftp.

> > Wegen der Standleitung ist ohnehin ein Router nötig.
>
> Nein, wieso?

Nagut, nötig nicht unbedingt, aber die Teile sind robuster als ein
PC in der selben Preisklasse, da keine Lüfter und Festplatten
(die guten alten 468/P166 ohne Lüfter sind ja leider so ziemlich
am aussterben).

> > Da ist eine Cisco 1600 im Einsatz. Auf der sind die eigentlichen
> > Packetfilterregeln installiert.
>
> Das würde ich nicht tun. Wenn ihr die Filterregeln braucht, dann tut
> sie auf eine vertrauenswürdige Plattform. Von IOS haben nur die bösen
> Warez-Hax0rs den Quellcode gesehen, und Cisco ist _kein_ Hersteller, der
> für die Sicherheit seiner Produkte bekannt ist.

Die Kiste filtert hauptsächlich den ganzen Schmodder den die ganzen
inkontinenten Windows Kisten so erzeugen, hält Teile der portscans
von den Logs unseres eigentlichen Packetfilters fern und sorgt
für spoofing schutz und meckert mit mir, wenn sich doch mal irgendwelche
privaten adressen hier losreissen wollen. Selbst wenn jemand einen
tcpdump auf dem Router laufen lassen kann, ist der Erkenntnisgewinn
innerhalb unserer DMZ doch recht gering.

> Es schadet nichts, da _auch_ drauf zu filtern, aber man sollte sich
> nicht darauf verlassen.

Mache ich auch nicht.

> > Zwischen Webserver und Datenbankserver/Internem Netz hängt zudem auch
> > noch mal ein Packetfilter (Linux 2.4.x mit iptables).
>
> D.h. Web- und Datenbankserver sind in einer DMZ, ja?
> Gut.

Ja, klassisches setup.

[Felix von Leitner]

Thus spake Ulrich Eckhardt (ulrich....@transcom.de):

> Die Textschiebereien sind leider nicht so ganz statischer Art. Abgesehen
> davon brauche ich dann wieder perl auf dem Webserver.

Wieso? Kannst du auch woanders warten und dann rsync machen.

> > Wenn die Last nicht übermäßig ist, ist ein CGI besser als ein
> > Webserver-Plugin, weil eine saubere Trennung zwischen den Prozessen
> > geschieht.
> Im Prinzip korrekt. Aber mittels php kann ich mir zumindest
> Perl sparen.

Klar, und wenn du Python nimmst, kannst du PHP sparen!
Und wenn du Ruby nimmst, kannst du Python sparen!
Und wenn du Tcl nimmst, kannst du dich gleich erschießen! ;)

> Wobei ich die Möglichkeit hätte php auch als CGI zu nutzen.

Ja, nur ist php monströs groß und nicht vertrauenswürdig.

> > Ganz schlechte Idee. Lieber Up- und Download trennen und die Downloads
> > über einen vertrauenswürdigen anonymous-only ftpd wie z.B. publicfile
> > machen.
> Upload geht nur mit login, nicht als als anonymous und wird ohnehin nur
> selten genutzt. Und die paar Leute die den upload nutzen sind so weit
> vertrauenswürdig.

Das ist ja egal. Je obskurer ein Dienst ist, desto eher solltest du ihn
woanders hin tun, weil er wahrscheinlich weniger gut gewartet und
überwacht wird als die brot-und-butter Dienste, und weil ein Angreifer
ihn womöglich ausnutzen kann.

> > Und die meisten ftp-upload-Fälle kann man mit scp oder
> > email-Attachments erschlagen.
> So richtig grosse E-Mail attachements will man nicht wirklich haben,
> wenn an an einer 64k Leitung hängt, deshalb der Austausch über ftp.

base64 ist 1/7 größer als FTP IIRC, das sollte noch drin sein.
Was spricht gegen ssh, wenn die Leute schon vertrauenswürdig sind?
Oder HTTP Upload mit TLS?

Felix

[Nicholas Preyß]

Felix von Leitner wrote:
> Thus spake Ulrich Eckhardt (ulrich....@transcom.de):

>>Wobei ich die Möglichkeit hätte php auch als CGI zu nutzen.

>>
>
> Ja, nur ist php monströs groß und nicht vertrauenswürdig.

Das der mittlerweile enorme Umfang sicherheitstechnisch kritisch ist,
keine Frage, aber wieso ist PHP nicht vertrauenswürdig ?

[Felix von Leitner]

Thus spake Nicholas Preyß (n...@nmail.de):

> Das der mittlerweile enorme Umfang sicherheitstechnisch kritisch ist,
> keine Frage, aber wieso ist PHP nicht vertrauenswürdig ?

Das alleine reicht schon, um ein Programm nicht vertrauenswürdig zu
machen. Aber PHP hat auch eine Historie von Unsauberkeiten und
Sicherheitsproblemen.

[Juergen P. Meier]

Felix von Leitner <usenet-...@fefe.de> wrote:
>Thus spake Ulrich Eckhardt (ulrich....@transcom.de):

>> Wegen transcom haben wir erschweredn noch einen ftp server für
>> anonyous download, sowie ein paar normale ftp account auch für
>> upload. Dafür werkelt ein wu.ftpd auf der Kiste.
>
>Ganz schlechte Idee. Lieber Up- und Download trennen und die Downloads
>über einen vertrauenswürdigen anonymous-only ftpd wie z.B. publicfile
>machen.
>
>Und die meisten ftp-upload-Fälle kann man mit scp oder email-Attachments
>erschlagen.

Wieso? Auf dem rechner laeuft sowieso schon ein httpd.
HTTP eignet sich ganz hervorragend fuer die Aufgaben eines Datei-download
und -upload servers. Ananonym ebenso wie mit Benutzerauthentifizierung.
Und mittels mod_ssl kann man letztere sogar primitivst auf Zertifikat
Basis bauen. (bei geschlossener Benutzergruppe aber _bitte_ mit einer
eigenen CA).
Oder den im HTTP eingebauten Basic-Auth (Username Passwort).
Verschluesselung ist auch schon dabei. Und Clients[1], die diese
Features nutzen koennen, gibt es auch auf jedem Windows-PC, sowie
jedem andern System, fuer das es Netscape oder lynx gibt.

Desweiteren hat man bei HTTP keine Probleme mit irgendwelchen
kaputten Firewalls.

FTP ist *ueberfluessig*, wenn keine der sowieso Sicherheitskritischen
features wie Site-to-Site transfers verwendet werden!

[snip]

>> Sicherheit muss nicht notwendigerweisse teuer sein. Das teuerste
>> sind hier in der Regel die Bücher im Bücherschrank.
>
>Am teuersten ist die Arbeitszeit desjenigen, der sich seit Jahren damit
>beschäftigt und sich auskennt.

ACK.

[1] Microsoft Internet Explorer, Netscape Communicator, Opera, Lynx
Uploads werden nicht unterstuetzt von: w3m und wget.
Bei allen anderen Browsern ist mir das nicht bekannt.

[Marc Haber]

J...@lrz.fh-muenchen.de (Juergen P. Meier) wrote:
>HTTP eignet sich ganz hervorragend fuer die Aufgaben eines Datei-download
>und -upload servers. Ananonym ebenso wie mit Benutzerauthentifizierung.

Gibt es dafür fertige Module, bzw. Anwendungen?

[Bernd Eckenfels]

Marc Haber <mh+use...@zugschlus.de> wrote:
> Gibt es dafür fertige Module, bzw. Anwendungen?

Jede Menge ...

Gruss
Bernd

[Felix von Leitner]

Thus spake Juergen P. Meier (J...@lrz.fh-muenchen.de):

> Wieso? Auf dem rechner laeuft sowieso schon ein httpd.
> HTTP eignet sich ganz hervorragend fuer die Aufgaben eines Datei-download
> und -upload servers. Ananonym ebenso wie mit Benutzerauthentifizierung.

Ja, theoretisch schon, aber praktisch ist es schon etwas eklig.
Ich habe das auch immer so vertreten, weil am Ende die Vorteile
überwiegen, aber ganz so einfach ist es denn doch nicht.

Man muß von Hand dafür sorgen, daß der Pfad "desinfiziert" wird und die
bestehenden Lösungen sind gewöhnlich PHP-basiert o.ä. und da gab es
heftige Sicherheitsprobleme und die meisten Lösungen lassen Temp-Dateien
herumliegen und ähnlicher Mist.

Und Upload Resume gibt es nicht. Die Clients sind nicht so ausgereift.

Felix

[Marc Haber]

URL?

[Bernd Eckenfels]

Marc Haber <mh+use...@zugschlus.de> wrote:
> URL?

mod_put, mod_webdav, mod_

Clients:

curl, wget, cadaver, skunkdav, winnie, neon, sitecopy

alles auf freshmeat.net

unter windows kannst du xmlspy oder webordner (office 2000) oder ie dafuer
nehmen. Ein paar von obigen clients laufe da aber auch.

Gruss
Bernd

[Juergen P. Meier]

Marc Haber <mh+use...@zugschlus.de> wrote:
>J...@lrz.fh-muenchen.de (Juergen P. Meier) wrote:
>>HTTP eignet sich ganz hervorragend fuer die Aufgaben eines Datei-download
>>und -upload servers. Ananonym ebenso wie mit Benutzerauthentifizierung.
>
>Gibt es dafür fertige Module, bzw. Anwendungen?

Ja.
Fertige Anwendungen:

Server: Apache, IIS, Netscape HTTP Server
Clients: Opera, Netscape Communicator, InternetExplorer, lynx

Die Funktion des Datei-Down und -Upload sind Integraler Bestandteil
des HTTP Protokolls, und zumindest der Download wird Millionenfach
jeden Tag praktiziert.

Jedes Programm, das die HTTP Methoden "GET" und "PUT" unterstuezt,
ist geeignet, FTP dauerhaft und endgueltig zu ersetzen.

Authentification und Verschluesselung sind durch die ueberall
Verfuegbaren implementationen von SSL sowie Basic-Auth in oben genannten
servern und clients kein problem.
Desweiteren ist es relativ einfach, SSL Zertifikatbasierte
Authentification zu realisieren.

Einzig die in den Meisten FTP-servern sowieso deaktivierten Features
ala Site-2-Site transfers sind per HTTP nicht abbildbar.

Alles Andere laesst sich durch CGI's, Servlets etc. Implementieren!

[Marc Haber]

Gibt es CGI- oder PHP-basierende Lösungen, die clientseitig keine
extra-Software brauchen, die extra installiert werden muss?
Beispielsweise ein Skript, das lokal eine Dateiauswahlbox aufmacht, in
der die Dateien ausgewählt werden, die dann hochgeladen werden?

[Bjoern Wunschik]

*Marc Haber <mh+use...@zugschlus.de> schrieb:

>Gibt es CGI- oder PHP-basierende Lösungen, die clientseitig keine
>extra-Software brauchen, die extra installiert werden muss?

Ja.

>Beispielsweise ein Skript, das lokal eine Dateiauswahlbox aufmacht, in
>der die Dateien ausgewählt werden, die dann hochgeladen werden?

PHP:
http://php.resourceindex.com/Complete_Scripts/File_Management/

Perl:
http://cgi.resourceindex.com/Programs_and_Scripts/Perl/File_Management/

mfg
Björn Wunschik

[Eugen Ernst]

Hi Felix,

> - System mit halbwegs vertrauenswürdigem IP-Stack
> drauf
> - möglichst kleinen, überschaubaren Webserver drauf,
> mit höchstens so vielen Features, wie unbedingt benötigt werden.

Wie sieht bei dir ein zukünftiges System aus, das demnächst
WebServices von entweder WebOne oder von .NET hosten soll?

mfg
Eugen

[Rainer Weikusat]

"Eugen Ernst" <Er...@gmx.com> writes:
> Wie sieht bei dir ein zukünftiges System aus, das demnächst
> WebServices von entweder WebOne oder von .NET hosten soll?

Disaster waiting to happen?

--
stone me

[Robin S. Socha]

* Eugen Ernst <Er...@gmx.com> writes:
> Fefe wrote:

Blau. Die Trendfarbe für Firewalls im nächsten Jahr ist Blau.

[Felix von Leitner]

Thus spake Eugen Ernst (Er...@gmx.com):

Was ist denn WebOne?

Ich glaube im Moment noch nicht, daß man mit .NET überhaupt sicher
arbeiten kann oder daß man das wollte. Wenn ein Kunde unbedingt diese
Anforderung hätte, würde ich ihm wahrscheinlich ein Proxy-Konzept auf
dem Application Layer vorschlagen, das mit einer Whitelist oder ein paar
validierenden regulären Ausdrücken arbeitet.

.NET-Hosting kann aber nur für einen ISP eine Anforderung sein, und ISPs
ist Sicherheit normalerweise nicht so wichtig. Die stellen da halt
einen dicken Cluster hin und der Kunde ist für die Sicherheit seiner
Applikationen verantwortlich.

Felix

[Felix von Leitner]

Thus spake Robin S. Socha (robin-dated-99...@socha.net):

> > Wie sieht bei dir ein zukünftiges System aus, das demnächst
> > WebServices von entweder WebOne oder von .NET hosten soll?
> Blau. Die Trendfarbe für Firewalls im nächsten Jahr ist Blau.

"I think mauve has the most RAM."