Hoster fixt Bugs in Kunden-Webseiten automatisch

Der niederländische Webhoster Antagonist hat eine Technologie entwickelt, die auf den Webseiten seiner Kunden selbstständig nach Sicherheitslücken suchen und diese beheben soll. mehr... Sicherheit, Hacker, Netzwerk Bildquelle: Axel Schwenke / Flickr Sicherheit, Hacker, Netzwerk Sicherheit, Hacker, Netzwerk Axel Schwenke / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Unterstützung bieten: super. Automatisiert im eigenen Quellcode rumfuchteln: nogo.
 
@Slurp: man muss ja nicht im Code rumfummeln. Der Anbieter könnte einfach eine WAF davorsetzen und entsprechend konfigurieren. Glaube nicht das die die Zeit und das Wissen haben deinen Code zu verstehen und zu fixen.
 
@tavoc: zumal sie dafür auch erstmal den gesamten Code haben müssen. Webseiten bestehen heute halt nicht mehr aus einfachen HTML files, die man irgendwo ablegt. Und ich würde mich vehement dagegen wehren, das die meine Web-Application decompilen um den Fehler zu finden :)
 
@tavoc: davon abgesehen wie will man denn einen verschlüsselten code ändern oder anpassen, da nutzt auch ein WAF davor nichts, oh super alles ist sicher, oh nein die Software läuft nicht mehr, weil der Key nicht mehr akzeptiert wird. Ich denke das Ganze ist eine gute Idee, ich wüsste aber nicht wie man das tatsächlich umsetzen könnte.
 
@Navajo: mit einer WAF muss man nicht an den Code ran. Man filtert nur verdächtige Anfragen raus. Man muss natürlich das Normalverhalten kennen. Aber es gibt keinen grund warum Zeichen wie ' in der URL enthalten sein müssen. Solche Vektoren können mit einer WAF reduziert werden
 
@tavoc: na der normale weg, jemand benutzt eine cms mit einer komponente oder einem module was nicht sauber programmiert wurde. durch dieses loch wird eine datei eingeschleust und so hat man einen trojaner auf dem webserver. schon sehr oft gesehen und im normalfall sind so die meisten seiten befallen worden. was wollen die dagegen unternehmen? dazu müsste man wissen welche komponenten und module jetzt in dieses laufenden version ein sicherheitsproblem haben, wer will denn denn ALLE cms, galerien, groupwares, etc. kontrollieren?
 
@Navajo: Diese Komponenten sind meist gegenüber XSS, SQL Injection oder irgendeine Art von File Inclusion gegenüber verwundbar. Dazu muss mann die Komponente entsprechend ansteuern. Diese Befehle unterscheiden sich jedoch sehr vom Normalverhalten. Eine WAF erkennt das, oder wurde entsprechend darauf eingestellt und verwirft diese Anfragen. Z.b. braucht man keine / '"%& etc.
 
@Slurp: Das wird sich wohl kaum an versierte Coder richten, sondern viel eher an den kleinen Mann, der stolz wie Nachbars Lumpi ist auf seine eigene Irgendwas-Kit Seite. Und genau für solche User ist so ein Dienst doch echt super, finde ich. Ok, vielleicht nicht super, aber durchaus sinnvoll und interessant, eine gute Idee.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen