* [Comm] Вопрос про Apache и Application Proxy
@ 2003-02-01 9:41 Alexander Kharkov
2003-02-01 10:13 ` Dmitry Lebkov
2003-02-01 12:42 ` [Comm] Re: Вопрос про Apache и Application Proxy Michael Shigorin
0 siblings, 2 replies; 7+ messages in thread
From: Alexander Kharkov @ 2003-02-01 9:41 UTC (permalink / raw)
To: community
Здравствуйте!!!
Не знаю даже с чего начать....
Я не являюсь специалистом по всяким Web-технологиям, поэтому просьба
объяснить как нибудь попроще (но в то же время не примитивно :-)))
Значит сначал обрисую ситуацию. В конторе, к коей я работаю, основная
сетевая операционка - Novell Netware, есть один админ, который окромя
этой нетвари практически ничего не знает....
Есть задача - вывести во внешний мир, то бишь интернет Linuxовую тачку с
установленным Apache. Так вот сей админ очень активно интресуется, как
обстоят дела у апача с Buffer Overflow???? То есть как поведет себя апач
если ему запостить строку длинной эдак килобайт n-цать??
И второй вопрос, товарищ сей твердит, что для безопасности надо, прямо
таки необходимо, написать прогу которую он назвыает Application Proxy.
Которая должна пропускать чрез себя весь HTTP-ешный траффик и усекать
такие поля. Поэтому второй вопрос есть ли готовое решение для
организации этого самого Application Proxy (я честно говря вообще слабо
себе представляю что это такое)?
ЗЫ Кагда примерно ожидается выход Master 2.2???? Потому как на енту
машину хочется именно его поставить, так как привык я уже к Altовским
дистрам....
Спасибо за внимание!!!
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Вопрос про Apache и Application Proxy
2003-02-01 9:41 [Comm] Вопрос про Apache и Application Proxy Alexander Kharkov
@ 2003-02-01 10:13 ` Dmitry Lebkov
2003-02-01 22:11 ` [Comm] Вопрос про Apache и Application Proxy (дополнение) Alexander Kharkov
2003-02-01 12:42 ` [Comm] Re: Вопрос про Apache и Application Proxy Michael Shigorin
1 sibling, 1 reply; 7+ messages in thread
From: Dmitry Lebkov @ 2003-02-01 10:13 UTC (permalink / raw)
To: community
On Sat, 1 Feb 2003 12:41:17 +0300
Alexander Kharkov <shurik2k@hotbox.ru> wrote:
> Здравствуйте!!!
>
> Не знаю даже с чего начать....
>
> Я не являюсь специалистом по всяким Web-технологиям, поэтому просьба
> объяснить как нибудь попроще (но в то же время не примитивно :-)))
>
> Значит сначал обрисую ситуацию. В конторе, к коей я работаю, основная
> сетевая операционка - Novell Netware, есть один админ, который окромя
> этой нетвари практически ничего не знает....
>
> Есть задача - вывести во внешний мир, то бишь интернет Linuxовую тачку
> с установленным Apache. Так вот сей админ очень активно интресуется,
> как обстоят дела у апача с Buffer Overflow???? То есть как поведет
> себя апач если ему запостить строку длинной эдак килобайт n-цать??
Нормально себя поведет. Ответит, что нет такого файла и не свалится. %)
Это уже очень давно пофиксено.
> И второй вопрос, товарищ сей твердит, что для безопасности надо, прямо
> таки необходимо, написать прогу которую он назвыает Application Proxy.
> Которая должна пропускать чрез себя весь HTTP-ешный траффик и усекать
> такие поля. Поэтому второй вопрос есть ли готовое решение для
> организации этого самого Application Proxy (я честно говря вообще
> слабо себе представляю что это такое)?
Товарищь бредит. См. http://www.netcraft.com/survey/ на предмет кол-ва
Апачей в сети :) И я сильно сомневаюсь, что их было бы столько если бы
они страдали "падучей болезнью" после n-килобайтного запроса.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] Re: Вопрос про Apache и Application Proxy
2003-02-01 9:41 [Comm] Вопрос про Apache и Application Proxy Alexander Kharkov
2003-02-01 10:13 ` Dmitry Lebkov
@ 2003-02-01 12:42 ` Michael Shigorin
1 sibling, 0 replies; 7+ messages in thread
From: Michael Shigorin @ 2003-02-01 12:42 UTC (permalink / raw)
To: community
On Sat, Feb 01, 2003 at 12:41:17PM +0300, Alexander Kharkov wrote:
> сетевая операционка - Novell Netware, есть один админ, который окромя
> этой нетвари практически ничего не знает....
Ну, тоже дело почетное.
> Есть задача - вывести во внешний мир, то бишь интернет Linuxовую тачку с
> установленным Apache. Так вот сей админ очень активно интресуется, как
> обстоят дела у апача с Buffer Overflow???? То есть как поведет себя апач
> если ему запостить строку длинной эдак килобайт n-цать??
Нужен свежий апач из апдейтов. У < 1.3.23-alt8 есть проблема,
собственно, официальный тарбол -- 1.3.27.
> И второй вопрос, товарищ сей твердит, что для безопасности надо, прямо
> таки необходимо, написать прогу которую он назвыает Application Proxy.
Товарищ перечитался теории :-)
> Которая должна пропускать чрез себя весь HTTP-ешный траффик и
> усекать такие поля.
В теории это все хорошо и на практике помогает для такого crap,
как IIS (secureiis тому примером); собственно, апач тоже не
"весь в белом", но осмысленность _и_ этого барьера заметна там,
где простой/пробой таки стоит вполне конкретных денег и поэтому
применяются все возможные разумные средства.
> ЗЫ Кагда примерно ожидается выход Master 2.2???? Потому как на
> енту машину хочется именно его поставить, так как привык я уже
> к Altовским дистрам....
Можете поставить beta, если никого сильно не напугает именно это
слово. Я хотел так сделать для ftp3.linux.kiev.ua, но бету
вытащить до сих пор не успел (в офис), а изворачиваться с
клонированием своей текущей машинки было как-то некогда.
А так -- стабильность вполне адекватная и апгрейд до релиза будет
наименее болезненным.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Вопрос про Apache и Application Proxy (дополнение)
2003-02-01 10:13 ` Dmitry Lebkov
@ 2003-02-01 22:11 ` Alexander Kharkov
2003-02-01 22:20 ` Denis S. Filimonov
` (2 more replies)
0 siblings, 3 replies; 7+ messages in thread
From: Alexander Kharkov @ 2003-02-01 22:11 UTC (permalink / raw)
To: community
On Sat, 1 Feb 2003 20:13:35 +1000
Dmitry Lebkov <dima@sakhalin.ru> wrote:
> On Sat, 1 Feb 2003 12:41:17 +0300
> Alexander Kharkov <shurik2k@hotbox.ru> wrote:
>
> > Здравствуйте!!!
> >
> > Не знаю даже с чего начать....
> >
> > Я не являюсь специалистом по всяким Web-технологиям, поэтому просьба
> > объяснить как нибудь попроще (но в то же время не примитивно :-)))
> >
> > Значит сначал обрисую ситуацию. В конторе, к коей я работаю,
> > основная сетевая операционка - Novell Netware, есть один админ,
> > который окромя этой нетвари практически ничего не знает....
> >
> > Есть задача - вывести во внешний мир, то бишь интернет Linuxовую
> > тачку с установленным Apache. Так вот сей админ очень активно
> > интресуется, как обстоят дела у апача с Buffer Overflow???? То есть
> > как поведет себя апач если ему запостить строку длинной эдак
> > килобайт n-цать??
>
> Нормально себя поведет. Ответит, что нет такого файла и не свалится.
> %) Это уже очень давно пофиксено.
тут мне необходимо добавить что требуется в точки зрения защиты.....
вопрос не в том сможет или не сможет злоумышленник завалить апач (как
говорит ождна моя знакомая "что упало то поднимем" :-))
суть в другом, значит описываю ситуацию
есть http форма, на ней поле ввода в нем казано ограничение на длину
скажем в 30 символов.
кулхацкер берет енту форму подправляет ее у себя (разные способы есть -
не суть в данном случае важна)
и засылает не 30 символов на скажем 30 килобайт символов, не может ли
это вызвать выполнение нежелательного кода на сервере????
в общем то это будет Web-система с запросами к Oracle-евой СУБД
(естественно находящейся на другой машине) проблема в том, что в базе
хранится конфеденциаьная информация, которую левому народу вообщем то
видеть совсем не обязательно...
хотелось бы услышать опытных людей, как лучше защитить все это дело, как
это реально делается, потому как опыта ноль - а делать надо :-(((
в дополнение - сайт будет писаться на PHP
>
> > И второй вопрос, товарищ сей твердит, что для безопасности надо,
> > прямо таки необходимо, написать прогу которую он назвыает
> > Application Proxy. Которая должна пропускать чрез себя весь
> > HTTP-ешный траффик и усекать такие поля. Поэтому второй вопрос есть
> > ли готовое решение для организации этого самого Application Proxy (я
> > честно говря вообще слабо себе представляю что это такое)?
>
> Товарищь бредит. См. http://www.netcraft.com/survey/ на предмет кол-ва
> Апачей в сети :) И я сильно сомневаюсь, что их было бы столько если бы
> они страдали "падучей болезнью" после n-килобайтного запроса.
Вопрос не в падучести (см выше).
>
>
> --
> WBR, Dmitry Lebkov
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
ЗЫ Я извиняюсь за дотошность но просто нужна развернутая информация,
причем такая чтобы среднестатистический начальник смог ей проникнуться
:-))
>
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Вопрос про Apache и Application Proxy (дополнение)
2003-02-01 22:11 ` [Comm] Вопрос про Apache и Application Proxy (дополнение) Alexander Kharkov
@ 2003-02-01 22:20 ` Denis S. Filimonov
2003-02-01 23:23 ` [Comm] " Michael Shigorin
2003-02-01 23:35 ` [Comm] Re[2]: [Comm] " Sergey A. Kolesnitchenko
2 siblings, 0 replies; 7+ messages in thread
From: Denis S. Filimonov @ 2003-02-01 22:20 UTC (permalink / raw)
To: community
2 Февраль 2003 04:11, Alexander Kharkov написал:
> тут мне необходимо добавить что требуется в точки зрения защиты.....
>
> вопрос не в том сможет или не сможет злоумышленник завалить апач (как
> говорит ождна моя знакомая "что упало то поднимем" :-))
>
> суть в другом, значит описываю ситуацию
>
> есть http форма, на ней поле ввода в нем казано ограничение на длину
> скажем в 30 символов.
> кулхацкер берет енту форму подправляет ее у себя (разные способы есть
> - не суть в данном случае важна)
> и засылает не 30 символов на скажем 30 килобайт символов, не может
> ли это вызвать выполнение нежелательного кода на сервере????
>
> в общем то это будет Web-система с запросами к Oracle-евой СУБД
> (естественно находящейся на другой машине) проблема в том, что в базе
> хранится конфеденциаьная информация, которую левому народу вообщем то
> видеть совсем не обязательно...
>
> хотелось бы услышать опытных людей, как лучше защитить все это дело,
> как это реально делается, потому как опыта ноль - а делать надо :-(((
>
> в дополнение - сайт будет писаться на PHP
>
Совет простой до банальности: не доверять никаким данным прилетевшим из
формы. Проверки в html и javascript исключительно делаются для удобства
пользователя.
^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] Re: Вопрос про Apache и Application Proxy (дополнение)
2003-02-01 22:11 ` [Comm] Вопрос про Apache и Application Proxy (дополнение) Alexander Kharkov
2003-02-01 22:20 ` Denis S. Filimonov
@ 2003-02-01 23:23 ` Michael Shigorin
2003-02-01 23:35 ` [Comm] Re[2]: [Comm] " Sergey A. Kolesnitchenko
2 siblings, 0 replies; 7+ messages in thread
From: Michael Shigorin @ 2003-02-01 23:23 UTC (permalink / raw)
To: community
On Sun, Feb 02, 2003 at 01:11:20AM +0300, Alexander Kharkov wrote:
> и засылает не 30 символов на скажем 30 килобайт символов, не может ли
> это вызвать выполнение нежелательного кода на сервере????
[...]
> в дополнение - сайт будет писаться на PHP
Так а при чем тут апач?
Это application level, а не server level security.
Для начала почитать study in scarlet on php...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] Re[2]: [Comm] Вопрос про Apache и Application Proxy (дополнение)
2003-02-01 22:11 ` [Comm] Вопрос про Apache и Application Proxy (дополнение) Alexander Kharkov
2003-02-01 22:20 ` Denis S. Filimonov
2003-02-01 23:23 ` [Comm] " Michael Shigorin
@ 2003-02-01 23:35 ` Sergey A. Kolesnitchenko
2 siblings, 0 replies; 7+ messages in thread
From: Sergey A. Kolesnitchenko @ 2003-02-01 23:35 UTC (permalink / raw)
To: Alexander Kharkov
AK> есть http форма, на ней поле ввода в нем казано ограничение на длину
AK> скажем в 30 символов.
AK> кулхацкер берет енту форму подправляет ее у себя (разные способы есть -
AK> не суть в данном случае важна)
AK> и засылает не 30 символов на скажем 30 килобайт символов, не может ли
Проверка должна на кол-во данных из формы у вас должна быть просто в
скрипте(php). И уж если паранойа замучала, можете
еще средставами оракла проверять запросы.
Т.о. все дело в том как будет написан сам скрипт, а это уже в свою
очередь зависит от программиста, который это дело будет писать.
--
Best regards,
Sergey mailto:sergey.ak@mtu-net.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2003-02-01 23:35 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-02-01 9:41 [Comm] Вопрос про Apache и Application Proxy Alexander Kharkov
2003-02-01 10:13 ` Dmitry Lebkov
2003-02-01 22:11 ` [Comm] Вопрос про Apache и Application Proxy (дополнение) Alexander Kharkov
2003-02-01 22:20 ` Denis S. Filimonov
2003-02-01 23:23 ` [Comm] " Michael Shigorin
2003-02-01 23:35 ` [Comm] Re[2]: [Comm] " Sergey A. Kolesnitchenko
2003-02-01 12:42 ` [Comm] Re: Вопрос про Apache и Application Proxy Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git