Xampp absichern

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Xampp absichern

Postby abc1 » 03. December 2015 13:03

Hallo,

habe die 5.6.14 für eine Wordpressinstallation installiert.

Vor >1 Jahr hatte ich schonmal Xampp genutzt, jetzt finde ich die in den verschiedenen FAQs beschriebenen lokale Sicherheitsseiten
localhost/security/xamppsecurity.php
localhost/security/
nicht mehr, auf der Xampp etwa gegen Zugriffe von aussen abgesichert werden konnte.

Diese Seiten gibts wohl nicht mehr?

Wie gehe ich dann bei Absicherung vor, bin in diesen Dingen nicht sehr bewandert.

Danke,
abc1
abc1
 
Posts: 2
Joined: 03. December 2015 12:54
Operating System: Win7

Re: Xampp absichern

Postby Nobbie » 03. December 2015 13:39

Die FAQs sind leider veraltet und nicht angepasst. Die vermeintlichen security Seiten gibt es nicht mehr.

Xampp ist ein ein Entwicklungswerkzeug, nur ausgebildete IT'ler sollten sich zutrauen, einen Online Server zu administrieren. Wenn man sich selbst nicht gut auskennt, bieten professionelle Webhoster eine preiswerte und sichere Alternative. Wer Xampp nur auf dem localhost einsetzt, braucht seinerseits nichts zu unternehmen, das Paket ist dafür sicher genug.
Nobbie
 
Posts: 8767
Joined: 09. March 2008 13:04

Re: Xampp absichern

Postby abc1 » 03. December 2015 13:53

Danke Dir.

Du würdest also etwa Wordpress nicht lokal testen?
Ist ja für Upates etc von draussen erreichbar, daher meine Frage zur Absicherung.
abc1
 
Posts: 2
Joined: 03. December 2015 12:54
Operating System: Win7

Re: Xampp absichern

Postby Nobbie » 03. December 2015 16:44

abc1 wrote:Du würdest also etwa Wordpress nicht lokal testen?


Vielleicht. Viel Sinn sehe ich da nicht, weil man es sowieso wieder im Internet installieren muss. Ich würde es wahrscheinlich direkt auf dem Zielrechner testen. Warum auch nicht? Es ist durchaus nicht einfach, zu Hause die äquivalente Umgebung zur Verfügung zu stellen und dann den ganzen Krempel hochzuladen inkl. aller Daten.

Aber machbar ist es und wer meint, es würde ihm etwas bringen, kann das natürlich machen.

abc1 wrote:Ist ja für Upates etc von draussen erreichbar, daher meine Frage zur Absicherung.


Nein, da irrst Du Dich. Für Updates ist nicht DEINE Installation von außen erreichbar, sondern DEINE Installation erreicht den öffentlichen WordPress Server mit den Installationsdateien. Das genau anders herum.
Nobbie
 
Posts: 8767
Joined: 09. March 2008 13:04

Re: Xampp absichern

Postby Melewo » 04. December 2015 20:54

abc1 wrote:Du würdest also etwa Wordpress nicht lokal testen?

Mache ich nur lokal, was sollte da passieren?
Was ich hingegen nicht lokal mache, das sind Updates.
In der wp-config notieren, dann sollte es Auto-Updates deaktivieren:

Code: Select all
define('AUTOMATIC_UPDATER_DISABLED', true);
Melewo
 
Posts: 15
Joined: 08. August 2015 20:35
Operating System: Windows 10

Re: Xampp absichern

Postby Klaus_63 » 06. December 2015 21:39

Ich arbeite seit einiger Zeit mit xampp 5.6.14. Im Gegensatz zu früheren Versionen fehlt die security Seite komplett. Ich habe gelesen, dass xampp dennoch sicher sei und Zugriffe von aussen nicht möglich wären. Eine Begründung für diese Behauptung wurde leider nicht mitgeliefert. Da ich Zweifel habe und auch kein xampp-Experte bin, arbeite ich offline sobald ich mit dem xampp-Manager irgendetwas (z.B. apache oder mariadb) aktiviert habe. So lange ich keine verlässlichen und nachprüfbaren Infos habe, werde ich weiterhin offline sein, wenn ich mit xampp arbeite. Sobald ich meine Skripte für produktionstauglich halte, beende ich alle Tasks mit dem xampp-Manager, gehe online und lade mit filezilla meine Skripte auf den Produktiv-Server. Ist zwar etwas mühsam dafür garantiert sicher...

Falls jemand meine Zweifel zerstreuen könnte wäre das super :-)
Klaus_63
 
Posts: 3
Joined: 06. December 2015 21:20
Operating System: Windows, OS-X

Re: Xampp absichern

Postby Nobbie » 06. December 2015 22:31

Klaus_63 wrote:So lange ich keine verlässlichen und nachprüfbaren Infos habe, werde ich weiterhin offline sein, wenn ich mit xampp arbeite.


Vorbildlich! Xampp ist nur für den localhost konzipiert und wenn man ihn fahrlässig Online stellt (was ja nicht erzwungen ist!), dann muss man eben selbst schauen, dass man es absichert. Das wird aber nicht empfohlen, weil bei den allerwenigsten die Kenntnisse dafür ausreichen. Also von daher machst Du alles richtig, wenn man dem Router als Hürde nicht traut, sollte man besser Offline arbeiten.

"Zerstreuen" wird niemand Zweifel, dass ein Online Betrieb sicher ist - weil er es nicht ist.
Nobbie
 
Posts: 8767
Joined: 09. March 2008 13:04

Re: Xampp absichern

Postby Altrea » 06. December 2015 23:28

Klaus_63 wrote:Ich habe gelesen, dass xampp dennoch sicher sei und Zugriffe von aussen nicht möglich wären.

In aller Regel (zumindest in Deutschland) sind für Otto-Normal Internetuser Computer nicht direkt mit dem Internet verbunden, sondern nur der davorgeschaltete Router. Die Sicherheit besteht also darin, dass der Router HTTP Anfragen nicht an den im internen Netz befindlichen Computer weiterleiten.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8288
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp absichern

Postby Klaus_63 » 07. December 2015 00:33

@Altrea: verstehe ich das richtig? Ich kann also online bleiben während ich mit der Basiskonfiguration von xampp arbeite, ohne ein oder mehrere Schlupflöcher für böse Hacker zu schaffen? Zwar habe ich ja auch noch eine Firewall, doch je nach dem welche Ports ich offen lassen muss, öffne ich möglicherweise wieder Tore für unerwünschte Eindringlinge... Früher war alles einfacher, da habe ich noch was geblickt (seufz) :wink:
Klaus_63
 
Posts: 3
Joined: 06. December 2015 21:20
Operating System: Windows, OS-X

Re: Xampp absichern

Postby Altrea » 07. December 2015 00:46

Das kann ich dir nicht mit letzter Gewissheit beantworten. Probiere es selbst aus.
Starte Apache, bringe die externe IP-Adresse deines Routers in Erfahrung ( zum Beispiel mit Hilfe von http://www.wieistmeineip.de/ ) und starte eine HTTP Anfrage an genau diese IP-Adresse ( wenn deine IP zum Beispiel 123.123.123.123 ist wäre es http://123.123.123.123/ ). Die Anfrage sendest du am besten von einem anders an das Internet angeschlossenen Geräts ( zum Beispiel von einem per HSPA verbundenem Handy, oder dem PC eines Nachbarn/Freundes ). Siehst du irgendeine Ausgabe von deinem Apache bist du gefährdet,. Siehst du stattdessen eine ins Leere laufende Anfrage bist du sicher. Zumindest solange Sicher wie du nicht selbst wieder etwas an deiner Router Einstellung änderst.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8288
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Xampp absichern

Postby Klaus_63 » 07. December 2015 01:02

@Altrea: vielen Dank für die Antwort. Sofern niemand mein Router-Passwort herausfindet, scheint mein System derzeit sicher zu sein. Die Frage ist, ob sich nicht doch noch irgendeine Hintertüre öffnet, sobald ich den xampp-apache Server aktiviere. Deshalb bleibe ich momentan bei meinem bisherigen Vorgehen und hoffe, nicht schon tausende von Trojanern und anderem Mist auf meinem System zu bewirten... :(
Klaus_63
 
Posts: 3
Joined: 06. December 2015 21:20
Operating System: Windows, OS-X

Re: Xampp absichern

Postby Melewo » 07. December 2015 10:21

Klaus_63 wrote: und hoffe, nicht schon tausende von Trojanern und anderem Mist auf meinem System zu bewirten... :(

Falls Du welche bewirten solltest, dann mit ziemlicher Sicherheit nicht über Localhost, würde ich vermuten, sondern durch den Besuch von verseuchten Seiten im Web oder durch Plugins aus fragwürdigen Quellen oder allgemein durch unsichere Plugins in Deinen Seiten, durch verseuchte Downloads oder was es sonst noch gibt. Sprich, in diesem Fall war nicht Deine Xampp-Installation angreifbar, sondern Deine Installationen im Web wurden kompromittiert oder Dein Rechner war angreifbar und es könnte zum Beispiel Dein Passwort für FTP ausgespäht worden sein. Wichtig ist und das allgemein, dass der Rechner abgesichert ist und ebenso Installationen im Web.

Ein Schadprogramm könnte zum Beispiel gezielt nach Passwörtern auf Deinem Rechner suchen und das würde in diesem Fall die Dateien durchsuchen und nicht die geparsten und gerenderten Seiten, die Du gerade im Browser betrachtest. Ob Apache und MySQL gestartet ist oder nicht, dass würde diesem Schadprogramm bei der Suche in Dateien nicht interessieren, das würde eher von Dir unbemerkt eine Verbindung im Hintergrund aufbauen.
Melewo
 
Posts: 15
Joined: 08. August 2015 20:35
Operating System: Windows 10

Re: Xampp absichern

Postby Nobbie » 07. December 2015 11:02

Klaus_63 wrote:Deshalb bleibe ich momentan bei meinem bisherigen Vorgehen und hoffe, nicht schon tausende von Trojanern und anderem Mist auf meinem System zu bewirten... :(


Das hat mit Xampp ja nichts zu tun, wenn Dein Router alles durchläßt (was nicht sein sollte, aber durchaus möglich ist) und auch die Firewall nicht aktiviert ist. Da hilft aber auch nicht, Xampp offline zu betreiben, denn diese Trojaner kommen nicht "wegen Apache/Xampp", sondern wegen des offenen Routers. DIe brauchen auch Xampp oder Apache nicht. Im Gegenteil, die nisten sich woanders ein.
Nobbie
 
Posts: 8767
Joined: 09. March 2008 13:04


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 14 guests