Sicher programmieren - Webhosting

1. Die Abschnitte

• Einführung
• Informationen
• Desinformation
• GET-Parameter
• POST-Werte
• JavaScript-Hacks
• SQL-Injections Teil 1
• SQL-Injections Teil 2
• Dateiuploads Teil 1
• Dateiuploads Teil 2
• Brute-Force-Attacken
• Webhosting

2. Webhosting

Wer ein Webspace-Paket bei einem Webhoster gebucht hat, der macht dies in aller Regel, weil er sich nicht mit der aufwändigen Administration eines eigenen Servers belasten möchte. Allerdings sollte man sich auch hier nicht mit dem billigsten Angebot zufriedengeben, sondern sich auch mit den entsprechenden Sicherheitsaspekten beschäftigen. Und da ist eines ganz besonders wichtig.

3. Verschlüsselung!

Sowohl bei HTTP als auch FTP oder rsh (Remote Shell) werden Daten unverschlüsselt übertragen. Das gilt natürlich auch für Anmeldedaten wie Benutzernamen und Passwörter. Und da heutzutage das Internet von bösen Buben nur so wimmelt,muss man Alternativen dazu haben.

SFTP/SCP (SSH File Transfer Protocol/Secure Copy)

Ist die FTP-Variante mit zusätzlicher Verschlüsselung.

SSH (Secure Shell)

Benötigt man anstelle von rsh, um sich zum Beispiel mit PuTTY direkt auf dem Server einzuloggen.

SSL (Secure Socket Layer)

Heißt seit der Version 3 TLS, ist aber praktisch dasselbe. Diese Form der Verschlüsselung wird vor allem bei HTTPS benutzt.

4. Und nun?

Naja, wer einen direkten Zugang zu seinem Server benötigt, kann das eh nur noch per SSH machen. Und einen Provider, der kein SFTP/SCP anbietet, kann man eh in die Tonnen kloppen. Bleibt noch SSL und da wird es ein wenig kompliziert.

5. SSL/TLS

Hier muss man auf drei Dinge achten.

Erstens: Bietet euer Provider so was überhaupt in eurem Paket an? Dies ist aber bei eigentlich allen großen Anbietern wie 1&1, Strato oder HostEurope der Fall. Selbst bei den kostengünstigen Paketen. Über den Umfang von Webhosting-Paketen solltet ihr euch also vorab ein Überblick verschaffen.

Zweitens:. Die in vielen Fällen verwendete Bibliothek OpenSSL hatte in den Versionen 1.0.1 bis 1.0.1f einen üblen Bug, der als Heartbleed in die Geschichte eingegangen ist. Achtet also darauf, dass euer Provider eine neuere Version oder andere Bibliothek einsetzt.

Drittens: Um SSL nutzen können, gibt es zwei Arten von Zertifikaten, private und öffentliche. Erstere sind für umme (umsonst), nur leider nörgeln da die Browser rum und hauen euren Besuchern einen dicken Warnhinweis um die Ohren. Letztere dagegen kosten Asche, sind nur für eine begrenzte Dauer gültig und müssen regelmäßig erneuert werden.

Wem das zu teuer und zu nervig ist, der sollte Ausschau nach einem Webhoster halten, der sich an der Initiative Let'sEncrypt beteiligt. Da bekommt man kostenlos öffentliche Zertifikate.

6. Geht’s auch ohne?

Mal abgesehen von sicherheitstechnischen Aspekten gibt es noch ein paar weitere Gründe für die Verwendung von SSL.

• Das Ranking bei Google steigt (sagen die zumindest)
• Bei Online-Shops erhöht sich die Vertrauenswürdigkeit
• Will man seinen Auftritt bei Facebook einbinden (als Page-Tab,Canvas oder Webseite), so werden nur noch Verbindungen über HTTPS akzeptiert
• Ihr könnt ruhiger schlafen

zurück zum vorherigen Abschnitt