Serwery www a bezpieczeństwo

Lista firm, których rozszerzenia serwerów WWW miały problemy z bezpieczeństwem, nie wygląda po prostu jak przewodnik „kto jest kim” po przemyśle softwar e’owym w istocie jest to pełna lista firm, które dostarczają serwery WWW lub ich rozszerzenia! Problemy miały między innymi: Microsoft, Sun, Netscape i Oracle, często po wielekroć. Jeśli myślisz, że ma to związek z komercyjną naturą oprogramowania, powinniśmy zaznaczyć, że serwer Apache i serwer buforujący Squid również nie były wolne od błędów.

Często będziesz się stykał z zewnętrznymi programami współpracującymi z serwerami WWW i nazywanymi skryptami CGI, która to nazwa wywodzi się od specyfikacji Common Gateway Interface (CGI), określającej sposób, w jaki przeglądarki mogą przekazywać informacje serwerowi. Możesz również natknąć się na programy Active Server Pages (ASP), czyli technologię tworzenia dynamicznych stron WWW opracowaną przez Microsoft. Nowe technologie rozszerzeń pojawiają się w szybkim tempie, ale wszystkie mają te same podstawowe implikacje dla bezpieczeństwa.

Jeśli używasz rozszerzeń, powinieneś zadać sobie dwa pytania: Czy napastnik może skłonić rozszerzenia do zrobienia czegoś, czego robić nie powinny? Czy napastnik może uruchomić nieoczekiwane programy zewnętrzne? Oszukiwanie rozszerzeń

Twój przeciętny serwer HTTP wykonuje dziesiątki zewnętrznych programów, często pochodzących z różnych źródeł i napisanych w różnych językach. Nierzadko się zdarza, że jedna strona WWW zawiera trzy albo cztery warstwy programów. Na przykład serwer wywołuje zewnętrzny program napisany w Visual Basicu, który korzysta z technologii Jet w celu połączenia się z serwerem baz danych. W wielu przypadkach ludzie piszący strony WWW używają bibliotek i wcale nie wiedzą, jakie inne programy są uruchamiane. Rysunek 15.1 przedstawia przykładową konfigurację, w której proste zapytanie do serwera WWW powoduje wykonanie wielu programów.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>