Beiträge von Lukay

    Hallo,


    natürlich kann jeder, der möchte, die Anfragen in der Browser Konsole einsehen und kopieren. Dagegen kannst du auch meiner Meinung nach nicht viel machen.


    Wenn die Abfragen via Ajax wirklich so sensibel sind, solltest du vielleicht einen Login bauen?

    Du könntest im PHP Script abfragen, ob der User, der die Ajax anfrage stellt, eingeloggt ist, und dann dementsprechend reagieren.


    Das würde den User natürlich nicht davon abhalten, die Ajax abfragen zu manipulieren, aber du hättest bessere Kontrolle, wer überhaupt an die Daten gelangt.

    Bei uns auf dem Land ist jeden ersten Samstag im Monat Probealarm für die Feuerwehr-Sirene.

    Aber gestern ist alles Stumm geblieben?..


    Scheinbar zählten die Feuerwehr-Sirenen nicht zum test dazu?

    aber ich hab' Vorbehalte bei den ganzen Updatereien

    Sicherheitsupdates klar, die müssen immer sein. Aber es kann leider nicht alles 20 Jahre lang in alte Versionen backported werden.

    Irgendwann muss die Software nunmal geupdated werden :D



    weil es f. mein Webmail kein Update mehr vom Release meiner Distri her gab

    Davon würde ich sowieso weg gehen. Webapplications werden bei mir nur von deren offizieller Website runtergeladen und entweder von dort geupdated oder mit deren eigenem System. (z.B. owncloud bringt einen Self-updater mit).


    Auf der Website der Software siehst du dann auch, welche abhängigkeiten bestehen. (php version, php extensions etc.)

    Mit Webapplications hatte ich in dem Sinne noch nie Probleme.


    Dank vhosts und php-fpm kann man ja auch problemlos verschiedene php Versionen parallel betreiben.

    dass Sicherheitslücken durch veraltete Compiler/Interpreter udgl. kommen

    und nix mit etwaigem Pfusch im Quellcode zu tun haben?

    Teils. Lücken im Interpreter können sicheren Code unsicher machen und unsicheren Code noch unsicherer machen


    Edit: Beispiel USN-4166-1


    Gegeben sei eine Liste mit sehr sehr sehr sehr vielen Subnetzen (entweder v4 oder v6, nicht gemischt). In der Liste gibt es mehrere große Subnetze, welche sehr viele kleinere Subnetze aus der Liste enthalten.

    Das klingt wie eine Aufgabe aus der Berufsschule :pinch:

    Ist der Laden (mindfactory) zuverlässig?

    Leider hab ich schon schlechtes über Mindfactory gehört. Deswegen lasse ich mein Geld meist bei Alternate.


    Ein Beispiel einer "Mindfactory" Geschichte:

    Mindfactory verkauft (teilweise?) Ware außerhalb ihres Bestimmungsmarktes. Wenn man dann einen Garantiefall melden möchte, wird man von Mindfactory an den Hersteller des Produkts verwiesen.

    In dem Fall meinte der Herstellter, dass das Produkt gar nicht für den Markt EU gedacht war und deswegen kein Umtausch oder Erstattung möglich ist.

    Vielen Dank euch. Das Schweizer Taschenmesser hat mich in die richtige Richtung gelenkt und zusammen mit der Doku hab ich mich langsam an alles rangetastet. Einzige Problem ist noch, dass ich über den Proxy keine Dateien hochladen kann, die etwa größer 1MB sind. Irgendwo renne ich da wohl noch in einen Timeout oder ein Limit, aber jetzt wird es langsam spät :)

    Wahrscheinlich liegt dein Problem hier begraben: nginx client_max_body_size

    woraus schließt Du das?

    Weil außer SSH nichts läuft und die Passwörter von Netcup einigermaßen lang genug sind um realistisch gesehen gegen Bruteforce gesichert zu sein.

    (Natürlich schließt das für mich mit sein, dass das Image einigermaßen aktuell ist, was Sicherheitsupdates angeht)


    das Passwort wird per unverschlüsseltem Mail verschickt; und das Postfach wo es dann landet ist nicht immer auf vertrauenswürdigen Servern

    Ja, das wäre ein Angriffsvektor. Aber vllt doch eher für Statsfeind? Ich betreibe zwar schon einen Teil meiner Mailkonten selbst, muss aber dem Teil, der über externe Anbieter läuft, zu einem gewissen Punkt vertrauen können.


    Im zweifel hast du halt ne Maschine mit exponiertem Port und Passwort mit einer Gigabit Anbindung im Internet hängen

    Ich nehme mich meinen neuen Servern auch meist innerhalb einer Woche an, installiere von eigenen ISO's und sichere ab.

    Aber für den 0815 Nutzer ist es sicher komfortabler, wenn der Server bereits läuft und er direkt loslegen kann.


    Nur weil alle es so machen, heißt das ja noch lange nicht, dass das die optimale Lösung aktuell ist

    Da Netcup's Server (seit dem wechsel auf Debian 10) einigermaßen Sicher ausgeliefert werden, sehe ich persönlich nicht den Mehrwert daran.

    Und Netcup sieht wahrscheinlich den Kosten/Nutzen Faktor dabei. Wie marpri bereits erwähnt hat, wird es dann wohl mehr Supportanfragen hageln :D

    (Ob man die User, die zu doof sind, das zu bemerken, wirklich in seinem Netz haben will, ist eine andere Sache. Aber Netcup will natürlich erst mal Geld verdienen)

    Klar gibt es auch gute Gründe dafür. Aber für mich erschließt sich der Mehrwert nicht.


    Der Server ist ja nicht wirklich "ungeschützt". Im aktuellen Fall ist es ein minimal-Image, D.h. es lauscht nur der SSH. Und solange die Passwörter, die Netcup generiert einigermaßen lange sind, ist die realistische Chance sehr gering, dass da was passieren kann.


    Die Diskussion erscheint mir sehr an eine gewisse Zielgruppe angepasst zu sein. Da erschließt sich mir schon eher, wieso Netcup es allen anderen Providern gleich tut und die Server betriebsbereit ausliefert.

    Noch besser wäre natürlich, die Server "nackt" und ausgeschaltet auszuliefern

    Das mit dem ausgeschaltet ausliefern habe ich noch nie verstanden.

    Klar ist ein ausgeschalteter Server sicherer, als ein eingeschalteter.. aber ich habe das bisher bei noch keinem anderen Provider so gesehen.


    Supportanfragen á la "Ich komme nicht auf meinen Server

    Ich werfe nicht immer bevor ich einen neuen Server nutze einen Blick ins Panel des Hosters, sondern verwende einfach die IP und Credentials aus der Bereitstellungs-Mail.

    Da würde ich mich selbst auch schon sehr wundern, wenn ich meinen Server nicht direkt erreichen kann.

    Hat jemand von euch ein Ticketsystem am laufen. Wenn ja welches?

    Auf der Arbeit sind wir von OsTicket zu YouTrack gewechselt.


    OsTicket war recht leichtgewichtig, Youtrack kann viel und kann noch viel besser erweitert werden (mit Workflows).

    (Und fügt sich in unser Jetbrains-Environment gut ein)