Xampp wirklich generell unsicher?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Xampp wirklich generell unsicher?

Postby anton.sack » 20. May 2012 09:27

Hallo zusammen,

Ich habe gelesen, dass man xampp eher nur für Entwicklungen und nicht produktiv nutzen sollte. Ist das wirklich so? Wenn ja, was sollte ich statt dessen einsetzen?
anton.sack
 
Posts: 3
Joined: 22. March 2012 08:34
XAMPP Version: 5.6.3
Operating System: WinXP

Re: Xampp wirklich generell unsicher?

Postby Quax » 20. May 2012 12:14

Ich denke das ist Quatsch!

Xampp ist einfach zu installieren unter verschiedenen OS's und die meisten anderen brauchen eine normalen Server. Und die meisten Entwickler arbeiten von zu Hause oder in einem kleinen Office ohne Server. Xampp ist nur so unsicher wie die Security des PC's auf dem Xampp installiert wird. Ein Server hat von vornherein eine viel hoehere Security als ein normaler PC.
Weiterhin einen Guten Tag.

Quax, der Bruchpilot
User avatar
Quax
 
Posts: 15
Joined: 16. May 2012 08:42
XAMPP Version: 5.6.3
Operating System: Windows Server 2003 Enterprise

Re: Xampp wirklich generell unsicher?

Postby Altrea » 20. May 2012 12:41

Hallo anton.sack,

anton.sack wrote:Ist das wirklich so?

Ja, das ist wirklich so. XAMPP ist darauf ausgelegt dem Entwickler lokal möglichst wenig Steine in den Weg zu legen. Das bedeutet:
  • An allen Ecken und Enden werden Standardpasswörter verwendet, die im ganzen Netz bekannt sind
  • MySQL root User hat überhauptgar kein Passwort und phpMyAdmin verbindet sich automatisch ohne Abfrage
  • Es sind im Auslieferungszustand bereits viele Module aktiviert, die man vielleicht garnicht brauchen wird
  • Alle Komponenten geben möglichst viel von sich Preis, was Fehlermeldungen und Signaturen betrifft
  • Es sind keine Scriptfunktionen deaktiviert, so sind selbst PHP Kommandos möglich, die auf systemebene Prozesskommandos absetzen könnten
  • Es ist nicht ohne weiteres möglich Einzelkomponenten upzugraden um Sicherheitspatches einzuspielen

Neben diesen sicherheitskritischen Gründen gibt es auch noch praktische
  • XAMPP ist nicht auf Stabilität ausgelegt oder gar ausreichend daraufhin getestet
  • XAMPP ist nicht auf Geschwindigkeit ausgelegt, sondern darauf auch auf betagter Hardware noch zu laufen.
  • XAMPP besitzt keinerlei Enterprise Tools wie zum Beispiel Monitoring, einfache Konfigurationsoberflächen, etc.

Die listen erheben keinerlei Anspruch auf Vollständigkeit, das ist lediglich das, was mir jetzt spontan so eingefallen ist.

anton.sack wrote:Wenn ja, was sollte ich statt dessen einsetzen?

Das kommt darauf an was deine Anforderungen, deine Kenntnisse sind und dem was du bereit bist zu zahlen.

Quax wrote:Xampp ist nur so unsicher wie die Security des PC's auf dem Xampp installiert wird.

Das ist grundlegend komplett falsch, erst Recht unter dem Aspekt als Produktivumgebung Einsatz zu finden, denn dann ist es keine Option XAMPP nicht nach draußen telefonieren zu lassen, da das der Einsatzuweck eines produktiven Webservers ist.

Quax wrote:Ein Server hat von vornherein eine viel hoehere Security als ein normaler PC.

Wie kann die eine Hardware von vorn herein Sicherer sein als eine andere? Reden wir hier von Ausfallsicherheit, magst du unter bestimmten Aspekten Recht haben, da Serversysteme sinnvollerweise redundant ausgelegte Hardwarekomponenten haben sollten. Von der Softwareseite her ist diese Behauptung aber vollkommener Quatsch, da dich der Server nicht darin beschränkt, was du mit ihm machst.

mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 6490
Joined: 17. August 2009 13:05
XAMPP Version: 5.5.19
Operating System: W7Ux64

Re: Xampp wirklich generell unsicher?

Postby Quax » 20. May 2012 17:56

Das heist das alle Server Roles etc. im Grunde genommen Humbug sind? Warum dann noch ueber Security nachdenken.

Vielleicht war es ein bisschen verkehrt ausgedrueck zu sagen:
Xampp ist nur so unsicher wie die Security des PC's auf dem Xampp installiert wird.

haette vielleicht besser sagen sollen: Xampp's Unsicherheit ist abhaenging von der Sicherheit (sprich: Security) des PC auf dem Xampp laeuft oder so aehnlich.

Was ist nun daran auszusetzen?
Weiterhin einen Guten Tag.

Quax, der Bruchpilot
User avatar
Quax
 
Posts: 15
Joined: 16. May 2012 08:42
XAMPP Version: 5.6.3
Operating System: Windows Server 2003 Enterprise

Re: Xampp wirklich generell unsicher?

Postby Altrea » 20. May 2012 18:54

Quax wrote:Das heist das alle Server Roles etc. im Grunde genommen Humbug sind?

Wenn du von Server-Roles sprichst, beziehst du dich auf Server Betriebssysteme (ganz speziell auf diese aus dem Hause Microsoft), nicht auf Server im Allgemeinen.
In Bezug auf XAMPP sind Server-Roles in der Tat Humbug, denn diese beziehen sich lediglich auf Microsoft spezifische Funktionalitäten und Services, im Bereich der Webserver auf Internet Information Service (IIS).

Quax wrote:Warum dann noch ueber Security nachdenken.

Ich habe mit keinem Wort erwähnt, dass man nicht über Sicherheit nachdenken sollte, im Gegenteil.

Quax wrote:haette vielleicht besser sagen sollen: Xampp's Unsicherheit ist abhaenging von der Sicherheit (sprich: Security) des PC auf dem Xampp laeuft oder so aehnlich.

Was ist nun daran auszusetzen?

Ist mir ebenfalls zu verallgemeinert ausgedrückt. Es kommt natürlich immer auf die Definition von "Sicherheit" an, aber selbst ein XAMPP auf einem voll durchgepatchten, aktuellem Serverbetriebssystem mit nur den nötigsten Diensten und Funktionen aktiviert kann im Endresultat einen unsicheren Server ergeben, da weitaus mehr Faktoren eine Rolle spielen als nur das Betriebssystem.

Kleine Beispiele:
  • Der falsche Umgang mit WebDAV im Apache kann zur Folge haben, dass beliebige Scripte per Serveraufruf gestartet und mit Systemrechten das System in beliebiger Weise kompromitieren können. Im einfachsten Falle wird der Server somit zur Spamschleuder. Nach oben hin sind die Grenzen offen.
  • Ein ungepatschtes PHP im CGI Modus laufen kann dazu führen, dass beliebige Scripte (mit Logindaten und ähnlichem) im Klartext an den Anfragenden ausgeliefert werden, welche dann wiederum weitere Angriffsmöglichkeiten offen legen.
  • Ein ungepatschter Apache Server kann Anfällig sein für DDos Attacken über das SSL Protokoll

Sicherheit beginnt bei der Applikation, geht über die Serverdienste/-prozesse, Sicherheitsprogramme, das Betriebssystem selbst, die Hardware, bishin zu Netzwerkspezifischen Sicherheitseinrichtungen auf Hardwareebene wie Firewalls (ohne Anspruch auf Vollständigkeit). Ein unsicheres System in einer Produktivumgebung einzusetzen mit der Begründung, dass die Plattform darunter sich komplett um die Sicherheit kümmern kann ist nicht nur fahrlässig sondern auch noch falsch.

mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 6490
Joined: 17. August 2009 13:05
XAMPP Version: 5.5.19
Operating System: W7Ux64

Re: Xampp wirklich generell unsicher?

Postby Quax » 21. May 2012 11:47

Wie ich schon in dem anderen Thread schrieb, es hat den Anschein dass Du nur auf der Suche nach nagative bist und anderes einfach beiseite laesst. So auch hier.

Wenn da z.B. steht Fakt1 etc, dann ist nicht nur Fakt1 gemeint sondern auch alle anderen die moeglicherweise eine Rolle spielen. Und es war KEINE bestimmte Firma von mir erwaehnt worden, dass hast Du da hineingebracht.

Mag ja seine das es fuer DICH zu verallgemeinert ausgedrueckt ist wenn man von globaler Sicherheit (Security) des PC, in diesem Falle Server's spricht. Vielleicht erwartest Du ja das man ALLES gleich komplett darbietet, was bedeuten wuerde das man gleich ein ganzes Buch schreiben muesste!

Es ist auch nicht gerade positiv darzustellen das die Sicherheit bei Applications beginnt, Sicherheit hat bei dem System zu beginnen welches den gesamte Ablauf startet und weiterhin am laufen haellt! Man kann das auch Operating System nennen.

Ehrlich gesagt es ist ueberhaupt kein Spass noch weiter auf diese Sachen einzugehen. Wie ich schrieb, ich werde meine Beteiligung in diesen Forum in Zukunft auf Produkt bezogene Fragen beschraenken, sollte ich noch irgend welche haben und erwarte das die Antworten entsprechend ausfallen ohne ausfallend zu werden..
Weiterhin einen Guten Tag.

Quax, der Bruchpilot
User avatar
Quax
 
Posts: 15
Joined: 16. May 2012 08:42
XAMPP Version: 5.6.3
Operating System: Windows Server 2003 Enterprise

Re: Xampp wirklich generell unsicher?

Postby Altrea » 21. May 2012 16:09

Hallo Quax,

Quax wrote:Wie ich schon in dem anderen Thread schrieb, es hat den Anschein dass Du nur auf der Suche nach nagative bist

Dies (so sei dir nochmals versichert) liegt nicht in meiner Absicht. Ich sehe es aber sehr wohl als Moderator dieses Forums als meine Pflicht, User die vielleicht nicht über die nötige Sachkenntnis verfügen, deine generalisierten und teils unrichtigen Aussagen richtig einzuordnen, eine differenzierte Sichtweise zu bieten.

Quax wrote:Wenn da z.B. steht Fakt1 etc, dann ist nicht nur Fakt1 gemeint sondern auch alle anderen die moeglicherweise eine Rolle spielen.

Dieses Wissen kannst du aber nicht bei jedem zum Beispiel PHP Neuling der vielleicht nur mal lokal ein eigenes Joomla aufsetzen möchte, erwarten. Solch' ein User liest deinen Beitrag vielleicht und wiegt sich dadurch unter Umständen in falscher Sicherheit. Das möchte ich nicht verantworten und ich hoffe du siehst das ähnlich.

Quax wrote:Und es war KEINE bestimmte Firma von mir erwaehnt worden, dass hast Du da hineingebracht.

Mir ist der Begriff "Server Role" bisher in dieser Form nur bei Windows Server untergekommen, von daher gebe ich zu, dass ich dies impliziert habe. Sollte die Begrifflichkeit in dem Zusammenhang auch bei anderen Betriebssystemherstellern wie Linux, Solaris, etc existieren, so bin ich der letzte der sich und anderen diese Fehleinschätzung nicht eingesteht. Auch ich kann und möchte noch einiges dazu lernen, dann aber bitte mit Quellen untermauert.

Quax wrote:Mag ja seine das es fuer DICH zu verallgemeinert ausgedrueckt ist wenn man von globaler Sicherheit (Security) des PC, in diesem Falle Server's spricht. Vielleicht erwartest Du ja das man ALLES gleich komplett darbietet, was bedeuten wuerde das man gleich ein ganzes Buch schreiben muesste!

Nein, ich erwarte nicht, dass man sämtliche Sicherheitseinrichtungen und -gegebenheiten vollständig aufzählen muss. Ich erwarte aber sehr wohl, dass die Ratschläge hier nicht einseitig geschönt dargestellt werden. Gerade beim Thema Sicherheit ist es sehr gefährlich eine nicht differenzierte Meinung zu veröffentlichen, da, wie bereits geschrieben, nicht erwartet werden kann, dass jeder über die nötigen Sachkenntnis verfügt.

Quax wrote:Es ist auch nicht gerade positiv darzustellen das die Sicherheit bei Applications beginnt, Sicherheit hat bei dem System zu beginnen welches den gesamte Ablauf startet und weiterhin am laufen haellt! Man kann das auch Operating System nennen.

Es war garnicht meine Absicht eine spezielle Reihenfolge aufzustellen. Sicherheit ist immer eine Kombination aus allen Aspekten. Die Gesamtsicherheit eines Systems ist immer nur so stark wie deren schwächstes Glied. Ob dies nun, wie oft in der Programmierung anzutreffen, vom kleinsten/innersten zum größten/äußeren Aspekt geschieht, oder umgekehrt, bleibt jedem selbst überlassen. Wichtig ist (und das möchte ich betonen) dass alle potenziell angreifbaren Aspekte bei einem Produktivserver Sicherheitstechnisch betrachtet und abgesichert sein sollten.

Und es tut mir leid, wenn du in diesem Zusammenhang die Kritik meinerseits nicht richtig einordnen kannst oder möchtest.
Ich möchte nochmals betonen, dass meine Kritik nicht persönlich gemeint ist, sondern sich nur auf Aussagen deinerseits beziehen.

Quax wrote:Wie ich schrieb, ich werde meine Beteiligung in diesen Forum in Zukunft auf Produkt bezogene Fragen beschraenken, sollte ich noch irgend welche haben und erwarte das die Antworten entsprechend ausfallen ohne ausfallend zu werden..

Ich bin in keinster Weise ausfallend geworden. Meine Kritik war (so denke ich) sachlich und mit Begründungen untermauert konstruktiv.
Sollte dies bei dir anders angekommen sein, oder du mit Gegenteiligen Meinungen oder gar Kritik von anderen nicht umgehen können (was ich dir in keinster Weise unterstellen möchte), so tut mir auch das leid.

mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 6490
Joined: 17. August 2009 13:05
XAMPP Version: 5.5.19
Operating System: W7Ux64


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 4 guests