"Apache, Das Umfassende Referenzwerk" O'Reilly ISBN 3-89721-127-0
Seite 13 ff.
Welches Apache?
...
Das Hauptproblem der Win32-Version von Apache liegt in der Sicherheit, die wiederum auf die Sicherheit des zugrundeliegenden Betriebsystems basiert. Unglücklicherweise besitzen Win95 und seine Nachfolger effektiv keine nennenswerte Sicherheit. Windows NT besitzt eine größere Anzahl von Sicherheits-Features, diese sind aber nur unzureichend dokumentiert, schwer zu verstehen und wurden in den endlosen Diskussionen, Test- und Hacking-Phasen nicht berücksichtigt, die die Sicherheit unter Unix zu einer Festung geschmiedet haben, auf die man sich recht gut verlassen kann.
Aus Sicht der Apache-Entwicklergruppe ist die Win32 Version nützlich, wenn man eine angehende Website auf einfache Weise testen möchte. Sobald es aber um Geld geht, wären Sie ein Narr, wenn Si die Site nicht zuerst auf Unix übertragen, bevor Sie an die Öffentlichkeit und damit an die bösen Jungs herantreten.
Seite 43 ff.
Sicherheit unter Win32
...
Die in Apache v1.3.1 enthaltene README-Datei äußert sich dazu (frei übersetzt) wie folgt:
Apache Versionen für Windows vor der Version 1.3.1. sind für eine Reihe von Sicherheitslöchern anfällig, die verschiedenen Win32-Servern gemeinsam sind. Zu den Apache betreffenden Probleme zählen:
o Angehängte Pinkte werden vom Dateisystem ignoriert. Auf diese Weise können verschieden Zugriffsbeschränkungen umgangen werden.
o Verzeichnisnamen mit drei oder mehr Punkten (z.B. "...") werden als gültiger Ersatz für ".." betrachtet. Das ermöglicht Leuten den Zugriff auf Dateien außerhalb der konfigurierten Dokumentenstruktur.
...
Auf gut deutsch heißt das (wieder einmal), daß Win32 keine geeignete Plattform für den Betrieb eines Webservers ist, der irgendeinen Bedarf an Sicherheit hat.
Seite 233 ff.
Secure Socktes Layer: Wie man es macht
Das Ziel des folgenden Abschnitts ist es, eine Version von Apache zu erzeugen, die das HTTPS-Protokoll (HTTP über SSL) verarbeiten kann. Momentan ist dies nur in der Unix-Version möglich, und die vielen Sorgen, die bezüglich der Sicherheit von Win32 bestehen liefern kaum einen Grund, warum SSL bei der Win32-Version von Apache implementiert werden sollte.
...
Seite 13 ff.
Welches Apache?
...
Das Hauptproblem der Win32-Version von Apache liegt in der Sicherheit, die wiederum auf die Sicherheit des zugrundeliegenden Betriebsystems basiert. Unglücklicherweise besitzen Win95 und seine Nachfolger effektiv keine nennenswerte Sicherheit. Windows NT besitzt eine größere Anzahl von Sicherheits-Features, diese sind aber nur unzureichend dokumentiert, schwer zu verstehen und wurden in den endlosen Diskussionen, Test- und Hacking-Phasen nicht berücksichtigt, die die Sicherheit unter Unix zu einer Festung geschmiedet haben, auf die man sich recht gut verlassen kann.
Aus Sicht der Apache-Entwicklergruppe ist die Win32 Version nützlich, wenn man eine angehende Website auf einfache Weise testen möchte. Sobald es aber um Geld geht, wären Sie ein Narr, wenn Si die Site nicht zuerst auf Unix übertragen, bevor Sie an die Öffentlichkeit und damit an die bösen Jungs herantreten.
Seite 43 ff.
Sicherheit unter Win32
...
Die in Apache v1.3.1 enthaltene README-Datei äußert sich dazu (frei übersetzt) wie folgt:
Apache Versionen für Windows vor der Version 1.3.1. sind für eine Reihe von Sicherheitslöchern anfällig, die verschiedenen Win32-Servern gemeinsam sind. Zu den Apache betreffenden Probleme zählen:
o Angehängte Pinkte werden vom Dateisystem ignoriert. Auf diese Weise können verschieden Zugriffsbeschränkungen umgangen werden.
o Verzeichnisnamen mit drei oder mehr Punkten (z.B. "...") werden als gültiger Ersatz für ".." betrachtet. Das ermöglicht Leuten den Zugriff auf Dateien außerhalb der konfigurierten Dokumentenstruktur.
...
Auf gut deutsch heißt das (wieder einmal), daß Win32 keine geeignete Plattform für den Betrieb eines Webservers ist, der irgendeinen Bedarf an Sicherheit hat.
Seite 233 ff.
Secure Socktes Layer: Wie man es macht
Das Ziel des folgenden Abschnitts ist es, eine Version von Apache zu erzeugen, die das HTTPS-Protokoll (HTTP über SSL) verarbeiten kann. Momentan ist dies nur in der Unix-Version möglich, und die vielen Sorgen, die bezüglich der Sicherheit von Win32 bestehen liefern kaum einen Grund, warum SSL bei der Win32-Version von Apache implementiert werden sollte.
...
Kommentar