Hallo,
apatsche wrote:Aber man kann die configs allesamt überarbeiten und erhält so ein relativ sicheres server paket, das zumindest in einem Schwung installiert werden kann.
Mach doch mal einen konkreten Vorschlag für eine in deinen Augen überarbeitete config. Bitnami hat sich bisher immer relativ offen gegenüber Änderungswünschen aus der Community gezeigt, wenn der Aufwand nicht zu groß ist.
apatsche wrote:Gerade wenn man sich jedoch mal mit der Entwicklung sicherheitsrelevanter Tests beschäftigt ist man oft auf die aktuellsten patches der Libraries angewiesen.
Wenn man ein kostenloses Bundle wie XAMPP anbietet muss man notgedrungen immer Kompromisse eingehen. Bitnami entwickelt, veröffentlicht und betreut einen ganzen Haufen solcher Bundles. In diesem Kontext ist es gerade noch möglich und zumutbar relativ regelmäßig neue XAMPP Versionen mit aktualisierten Apache, PHP, MariaDB Versionen zu veröffentlichen. Hierbei stützt sich XAMPP auf anderen etablierten Bundles und Kompilationen wie die Apache Kompilate von Apachelounge (in der Regel mitsamt OpenSSL) als auch den offiziellen Releases von PHP seitens php.net. Doch das kann man natürlich nicht vergleichen mit einem einzelnen Entwickler oder Entwicklerteam, dass die volle Aufmerksamkeit und Herzblut in sein eigenes Projekt steckt, Apache und PHP inklusive eigener Module selbst so spezifisch wie möglich kompiliert.
Du als ITler bist immer in der Lage deine eigenen Anforderungen einschätzen zu müssen und diese mit bestehenden Produkten auf dem Markt zu vergleichen. XAMPP kann und möchte garnicht alle Anforderungen erfüllen. Je spezifischer die Anforderung ist (die Entwicklung sicherheitsrelevanter Tests ist schon sehr spezifisch und fernab des Fokus den XAMPP sich setzt) desto wahrscheinlicher und effizienter ist es, dass du dir selbst deine Entwicklungsumgebung zusammenbaust.
apatsche wrote:An dieses Stelle muss ich dann auch mal kritik an XAMPP verlauten lassen, denn gerade was die updates der OpenSSL libraries angeht (die ja gefühlt jede Woche neue lücken ans Tageslicht bringen), werden die XAMPP pakete viel zu selten aktualisiert. Da ist die Konkurrenz einen Schritt voraus.
Wie Nobbie schon sagt, wenn ein anderes Bundle hier deutlich besser passt als XAMPP, setze dieses doch einfach ein. Das wäre der Weg des geringsten Widerstandes.
Es liegt in der Natur der Sache, dass Sicherheitsrelevante Module von Sicherheitsforschern, Entwicklern und Angreifern viel häufiger auf Sicherheitslücken abgeklopft werden als andere, erst Recht wenn man bei einer gefundenen bisher unbekannten Lücke sehr viele der online Verfügbaren Server kompromitieren kann. Doch Sicherheitslücke hört sich immer so drastisch an. Gerade in Firmenumgebungen wo sehr viel wert auf automatisierte Tests gelegt wird, werden gefundene Probleme meistens nur blind hingenommen und nicht geprüft, welche Auswirkung eine gefundene Sicherheitslücke wirklich haben kann. Eine Sicherheitssoftware kann nicht wissen, ob eine Lücke für die Umgebung ein Problem darstellt oder nicht. Daher muss solch eine Sicherheitslücke immer in den richtigen Kontext gesetzt werden.
Eine Sicherheitslücke in OpenSSL hat in den meisten Fällen mindestens eine von zwei Auswirkungen: Bisher verschlüsselter SSL Transfer ist nichtmehr verschlüsselt und kann somit mitgelesen werden, oder die Stabilität des Apache Servers selbst ist durch Abstürze oder einfache DOS Angriffe gefährdet. Beides sollte bei einem Testsystem ein deutlich geringeres Risiko darstellen als wenn der Server Online verfügbar ist.
Dann kommt noch hinzu, dass der Personenkreis mit potenziell krimineller Energie in deinem Heimnetzwerk (oder einem Firmen-Intranet, der selbst schon garnicht die angestrebte Personengruppe von XAMPP darstellt) deutlich kleiner ist als im öffentlichen WWW. Sollten sich in deinem Netzwerk solche Personen befinden, die deine Test-/-Server angreifen hast du eh ein ganz anderes Sicherheitsproblem, dem man auch anders begegnen sollte.
Zusammengefasst kann man sagen ist der Druck auf Seiten von XAMPP tagesaktuell Patches Bereitzustellen nicht existent, da in der von XAMPP vorgesehenen Einsatzumgebung:
- Sicherheitslücken keine bis nur sehr geringe Auswirkungen haben
- der Personenkreis solche Lücken zu kennen und auszunutzen nahe gegen 0 geht