phpbar.de logo

Mailinglisten-Archive

[php] apache log einträge

[php] apache log einträge

Silvio Siefke listen at silviosiefke.de
Die Feb 5 11:17:27 CET 2008


Christoph Jeschke schrieb:
> Das kommt einfach darauf an, wie groß der Schaden ist, den man riskiert und 
> wie groß die Vorteile sind, die man erreicht. Für jemanden, der sein Geld mit 
> Programmierung verdient wäre es sicher unsinnig, auf eine Visitenkarte im 
> Netz zu verzichten. Letztlich musst Du das entscheiden.

Das ist richtig, aber das Internet ist doch eine schöne "Geschichte" um 
seine Meinung zu präsentieren und mit anderen Leuten zu "sprechen". Im 
Prinzip ist es doch das einzige freie Medium was wir noch haben. Presse, 
Politik und die Strafverfolgung sind doch nur noch Geld gesteuerte Medien, 
das Internet bietet News von Usern für Usern. Das ist die Bedeutung des 
Internets zumindest für mich.

Welchen Vorteil oder  Nutzen zieht man aus einer Internetseite? Für die 
gewerblichen Visitenkarten ist es sicher Kohle, aber für den größten Teil 
ist es wie mit den Fernsehen. Talkshows, Gerichtsshows und Mitmachshows 
haben kein Nutzen, sie dienen einzig und allein dem Zeitvertreib. Der eine 
liebt den Fernsehen, der andere das Internet. Ich gehöre zur zweiten 
Gattung, deswegen habe ich ein Homepage. Ich teile meine Ansichten und 
hoffe auf Antwort. Mein Linuxserver gibt mir eine Aufgabe, neben dem 
richtigen Leben, ich lerne und darf kreativ sein. Im richtigen Leben ist 
man ein Roboter, muss ja sagen zum Chef, ja sagen zum Staat. Kreativität 
ist nur gegeben wenn man entsprechend Arbeit hat und lernen tut wohl der 
größte Teil der Menschheit eher bei Sendungen wie "QuizTaxi". Mit 
verschieden Menschen zu kommunizieren, Kulturen kennen zu lernen ist im 
Internet dreimal schneller gemacht als im wahren Leben. Ich habe leider 
eine Scheu Menschen auf der "Strasse" anzusprechen um ein wenig zu 
plaudern. Dabei ist eine Unterhaltung, wie diese mit dir, das beste was uns 
als Mensch passieren kann.

> IMHO begehst Du den Fehler zu glauben, dass diese Angriffe speziell dir 
> gelten. Das ist vermutlich nicht so. Es ist für die Angreifer (derzeit) 
> einfach günstiger, ohne lange Detektivarbeit im Schrot-Prinzip möglichst 
> viele Seiten/Hosts anzugreifen. Denn Rechenzeit kostet die meistens nichts 
> und eilig haben sie es auch nicht. Zusätzlich ist die Gefahr, erwischt und 
> bestraft zu werden, gering.

Das glaube ich nicht, das war eher allgemein gesehen. Warum "greifen" die 
Leute User an wie ich und du? Ich glaube es gibt wichtigere Personen, 
welche auch von öffentlichen Interresse sind.

> Vielleicht kann ja dein Newsscript einfach statische Seiten erzeugen, die Du 
> dann von einem Testsystem aus auf das Livesystem publizierst. So hättest Du 
> den Komfortvorteil ohne die Sicherheitsprobleme.

Das heißt?

> Hier begehst Du einen Fehlschluss. Die Verbreitung einer Software sagt nichts 
> über deren Resistenz gegen Angriffe aus, wohl aber über die Zahl der 
> Angriffe. Die Anzahl der Angriffe ist aber nicht relevant: Ein jeweils 
> gleichartiger Angriff wird nicht bei jeweils gleichbleibendem Angriffsziel 
> deshalb zum Ziel führen, weil es davor bereits n andere gleichartige Angriffe 
> gab. Die richtige Wahl wäre also Software zu verwenden, die keine (bekannten) 
> Sicherheitslücken hat, egal wie verbreitet diese ist.

Ich glaube das ist wie mit den tollen Windows System. Die Software will 
jeder haben und so suchen die schlauen "Hacker" das System instiktiv nach 
Fehlern ab. Schließlich wird die Software von Menschen entwickelt und 
welche Software wird schon sicher "produziert"? Sicherheit ist am Ende nur 
ein Wort, für das man entweder viel Geld zahlt oder ausgeliefert ist. Das 
einzige was uns am Ende bleibt, den "Hackern" das Leben ein wenig zu 
erschwerren. Nur sollten die "Programmierer" die ohne Frage das wichtigste 
Gut sind, uns User ein wenig helfen. Warum stellt zum Beispiel PHP das 
System nicht sicher ein und jeder User stellt es nach seinem Bedarf ein. 
Man kann den Usern doch nicht abverlangen jede Sprache zu beherrschen und 
wenn ich mir die php.ini so anschauen gibt es genug optionen die ich nicht 
mal verstehe.

Da kommen wir wieder zum Beispiel Windows, Win 95 gut eingerichtet hast du 
ein wunderbares "Leben". Ab XP sieht es schon anders aus, immer mehr 
"Schrott" im System schlucken immer mehr Ressourcen und machen es anfällig.
Die Systeme und Sprachen sind doch modular, also soll es doch jedem User 
offen bleiben was genutzt wird und was nicht.

> chroot (unter Linux) ist auch kein Sicherheitsmechanismus.

Da haben wir wieder die allgemeine Verbreitung unter Linux. Der eine 
erzählt es so, der andere so, das Howto schreibt es so, wieder ein anderes 
macht es so und am Ende versteht man nichts mehr. Da sind wir dann beim 
Thema Erfahrung.

> Es bedarf zumindest einer gewissen Erfahrung.

Ich glaube unter Linux reicht keine Erfahrung. Da kommt man mit etwas 
Grundwissen weiter, Erfahrung erlangt man glaube ich nie. Wenn ich mir 
manche Maillinglisten durchlese und ich abonniere einige, dazu noch die 
Foren, da kommt nur eine Frage auf, "Was machen die Leute ohne Linux"?
Arbeiten die oder sitzen die netten, wirklich schlauen Leute die ganze Zeit 
vor den Server und spielen "Wie reagiert der Server auf diese Einstellung"? 
Unter Linux ist die Erfahrung eigentlich nur wie erreicht man ein 
bestimmtes Ziel. Den das Ziel erreicht man auf verschiedene Wege.

> Bist Du dir sicher, beurteilen zu können, ob das wirklich stimmt? Ich kenne 
> deinen Kenntnisstand nicht und möchte dir auch nicht unterstellen, dass Du 
> hier erneut fehlschließt, aber ich möchte dazu anregen, kritisch zu 
> hinterfragen, ob man es nur nicht gemerkt haben könnte.

Gut, dann habe ich nichts mitbekommen, hast du recht. Es heißt nicht 
umsonst, sag niemals nie! Kenntnisstand habe ich wenn ich mir manche 
Mallinglisten anschaue so ungefähr 1%. Man sieht es bei dir, du schreibst 
gut, scheinst also zu wissen was du tust. Dagegen bin ich wieder eine 
Niete. Aber muss man über alles bescheid wissen? Die Hersteller sollten Ihr 
System so sicher wie möglich ausliefern und den einzelnen User das Recht 
zur Öffnung oder zur Schließung einer Sicherheitslücke geben. Ich verstehe 
kein PHP Code, sollte aber doch darauf vertrauen können das der Interpreter 
wenigstens sicher läuft um den Schaden gering zu halten. Aber das ist immer 
das gleiche, es wird der Blick auf die Allgemeinheut gelenkt und jeder muss 
damit leben. Dabei bietet doch gerade Linux das System "Personal" zu 
machen, aber sollten nicht alle Software dieses Bild verfolgen.


Schöne Grüße
Silvio

php::bar PHP Wiki   -   Listenarchive