heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Grundsicherung für PHP-Software

Grundsicherung für PHP-Software

Hintergrund 10.10.2007 14:35 Uhr Christiane Rütten
Inhaltsverzeichnis
  1. Grundsicherung für PHP-Software
  2. PHP via CGI
  3. Via mod_php
  4. Probleme und Lösungen
  5. Provider-Übersicht
  6. Auf einer Seite lesen

Private Blogs und Foren sind ein beliebtes Angriffsziel -- auch wegen der vielen Sicherheitslücken darin. Wer sich jedoch nicht mit den unsicheren PHP-Voreinstellungen seines Providers zufrieden gibt, kann dem meisten Ärger aus dem Weg gehen.

Aufmacher

PHP gilt gemeinhin als unsichere Programmiersprache. Täglich liest man neue Meldungen über Schwachstellen in PHP-Programmen, sodass Hobby-Admins mit dem Einspielen von Patches und neuen Versionen kaum nachkommen. Doch inzwischen gibt es in der verbreiteten Skriptsprache durchaus ein ganze Reihe von Sicherheitsmechanismen, die dafür sorgen können, dass sich Lücken nicht ausnutzen lassen oder zumindest kein größerer Schaden resultiert.

Das Problem ist jedoch, dass die Sicherheitsoptionen aus Kompatibilitätsgründen in der PHP-Standardkonfiguration allesamt deaktiviert sind. Jeder der Mechanismen geht mit speziellen Einschränkungen oder besonderen Programmiervorgaben einher [1]. Weil aufgrund der vorherrschenden laxen PHP-Sicherheitskonfiguration der Webserver kaum ein Web-Entwickler dazu gezwungen ist, beispielsweise die Einschränkungen des Safe-Mode zu berücksichtigen, ist die PHP-Welt voller Applikationen, die auf abgesicherten Servern Probleme machen oder sogar den Dienst komplett verweigern.

Das PHP-Dilemma

Shared-Webhosting-Provider können es sich nicht leisten, die Sicherheitsschraube für alle Serverkunden gleichsam anzuziehen. Dies hätte massenweise Support-Anfragen wegen nicht funktionierender Webapplikationen zur Folge. Die leidige Konsequenz ist, dass im Shared-Webhosting-Bereich keine nennenswert gesicherten PHP-Umgebungen anzutreffen sind. Wir haben uns exemplarisch fünf Angebote angesehen, und keiner der untersuchten Provider traute sich, wenigstens die wichtigste Sicherheitsoption register_globals = off zu setzen. Damit ist der Teufelkreis komplett, denn so entsteht wiederum kein Druck auf die Entwickler, ihre Anwendungen an den Sicherheitsmechanismen ausrichten zu müssen.

Auf serverseitige Sicherungsmaßnahmen wie etwa den Einsatz der PHP-Erweiterung Suhosin [2] hat man als Webspace-Kunde keinen Einfluss. Aber es gibt auch nutzerseitige Möglichkeiten, die PHP-Konfiguration zu beeinflussen. Wie dafür vorzugehen ist und wie weit der Einfluss geht, hängt jedoch wieder von der Serverkonfiguration des Providers ab - und dort herrscht ein ausgeprägter Wildwuchs (siehe Tabelle).

Bei den untersuchten Webspace-Angeboten kommt durchweg der Webserver Apache zum Einsatz, doch allein bei ihm gibt es zwei grundverschiedene Arten, PHP einzubinden: als Apache-Modul mod_php sowie über den althergebrachten CGI-Mechanismus. Einen brauchbaren Zustandsbericht über den eigenen Webspace liefert ein kurzes PHP-Skript mit dem Inhalt

<?php phpinfo(); ?>

Steht in der Skriptausgabe im Feld "Server API" der Wert "Apache Handler", läuft mod_php, andernfalls steht dort "CGI". Weitere Informationen über den Webspace, etwa die User-ID, lassen sich beispielsweise mit Zusatzprogrammen wie der PHPShell abfragen.

Mit diesem Wissen gerüstet, kann man daran gehen, seinen Webspace abzusichern.

Vorherige 1 2 3 4 5 Nächste

Forum bei heise online: Serversicherheit

Teile diesen Beitrag

https://heise.de/-270918 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Aruba ClearPass Policy Manager

Sonicwall

NetBSD & Playstation

ZoneAlarm

Anzeige
  • Mehr Flexibilität durch Infrastructure as Code
  • Zuverlässiger Zugriff dank Zero Trust
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • MediaMarkt: Der bessere Geschäftskunden-Service
  • Sicher entwickeln im Open-Source-Universum
  • Fujitsu Data & Storage Days 02.06. – 20.07.2022
  • SANS eröffnet Cyber-Ressource Center
  • Kundenservice mit künstlicher Intelligenz
  • Wann lohnt es sich, die IT-Security auszulagern?
  • Weniger Umweltbelastung durch die IT
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

11 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. WeTransfer und gefährliche Ratschläge
    Viele Menschen nutzen gern den kosenlosen Service von WeTransfer, um große Dateien zu übertragen. WeTransfer verschickt dann E-Mails, um…

    Forum:  Diverses

    Paul Lenz hat keinen Avatar
    von Paul Lenz; 11.05.2022 13:57
  2. Re: sudo apt-get update: Signatur abgelaufen
    Hallo, per eMail vom Redakteur ein neues Zertifikat anfordern. Evtl. reicht es auch das Zertikat zu importieren. Andernfalls dieses durch eine…

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; 09.05.2022 12:44
  3. Re: Herr Schirrmacher ist eine Vorschau auf das kommende Desinfec't schon möglic
    In der Heftvorschau des aktuellen Heft 11 ist Desinfec't nicht in den Topthemen aufgeführt. Entweder es wird noch gründlich überarbeitet und…

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; 06.05.2022 12:06
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 245518
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien