VHost (apache2) ist nicht veröffentlicht

  • Mein VServer sammelt Informationen im Internet und stellt die wichtigen Ereignisse auf einer Webseite dar. Der verwendete VHost (apache2) ist nicht veröffentlicht, somit nur mit entsprechenden Eintrag in der lokalen Host-Datei erreichbar.

    Wie sicher Ist dieser Zugriffschutz?

  • Hay,


    was habe ich schon "geheime" Seiten gefunden... nur ein Szenario, was passieren kann... Du installierst ein Flash Update (oder Acrobat Reader) und Du vergisst, die "optionalen Angebote" wegzuklicken. Angenommen, da ist die google Toolbar dabei und die wird installiert. Du surfst Deine interne Seite an und die Toolbar (weil sie ja jedem das Leben leichter macht), bewertet diese "interne" Seite als "relevant", weil Du vorher eine andere ähnliche Seite angesurft bist oder weil Du auf einen Link dieser internen Seite klicht... und nimmt den Link und die referenzierende Seite in den search index auf. Kann passieren.


    Jemand sucht nach einer Information, die Du aus dem Internet hast und findet, dass Du eine Link dahin plaziert hast (dazu gibt es Abfragemöglichkeiten). Den kann er nicht aufrufen, aber meist genügt demjenigen schon die Info, "dass da was ist" um den Trick zu entschlüsseln.


    Oder alternativ - der Serverbetreiber des von Dir besuchten Links macht eine Auswertung des referrers und sieht, woher Du kommst. Da nützt es wenig, wenn du "do not track" aktiviert hast, im Logfile taucht das auf, außer Du hast das Announcement für den Referrer komplett abgeklemmt, Du surfst über einen Anonymisierungsprox o.ä.


    D.h. selbst bei Obfuscation muss man noch viel, viel mehr beachten als bloß den vhost nicht auffindbar zu machen.


    Also .htaccess und .htpasswd, selbst eine basic authentification reicht, sofern Du nicht auch noch Angst vor man-in-the-middle-Attacken hast.


    CU, Peter.

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    Nutzt du wenigstens ein SSL-Zertifikat für deinen vHost? ;)


    das ist ein anderer Angriffsvektor. Es ist ja keine "geheime" Subdomain, sondern ein vhost ohne DNS-Eintrag (wenn ich es richtig verstanden habe). Insofern kann da auch kein Letsencrypt-Zertifikat erstellt werden, da der Server nicht verifiziert werden kann...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Insofern kann da auch kein Letsencrypt-Zertifikat erstellt werden, da der Server nicht verifiziert werden kann...

    DNS-Validierung via TXT-Record! ;)


    Ich habe einige LE-Zertifikate, die keinen öffentlichen A/AAAA Record haben. Die sind allerdings auch fürs Intranet.


    Zugegeben, klingt beim Fall des TE unwahrscheinlich, aber so unkommentiert konnte ich Deine Aussage auch nicht stehen lassen. :D

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hay,

    DNS-Validierung via TXT-Record!

    Ja korrekt - ich vergaß, danke. Musste ich letzt mit der Postmaster-Zertifizierung für Google so machen - ist aber ein ganz anderes Thema lol.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.