„Diskussion:Internet Server API“ – Versionsunterschied
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 17: | Zeile 17: | ||
Es fehlt der Hinweis, daß .dll Dateien unkontrolliert vom Anwender ausgeführt werden. Bei unbekannten, dynamisch über den Browser geladenen steigt das Sicherheitsrisiko drastisch. Ebay versucht die ebayISAPI.dll zum Ende einer Session auf den Rechner zu laden. "Ein Schelm, der Gutes dabei denkt....."-- [[Benutzer:Docjschulz|Docjschulz]] 00:29, 24. Jan. 2010 (CET) |
Es fehlt der Hinweis, daß .dll Dateien unkontrolliert vom Anwender ausgeführt werden. Bei unbekannten, dynamisch über den Browser geladenen steigt das Sicherheitsrisiko drastisch. Ebay versucht die ebayISAPI.dll zum Ende einer Session auf den Rechner zu laden. "Ein Schelm, der Gutes dabei denkt....."-- [[Benutzer:Docjschulz|Docjschulz]] 00:29, 24. Jan. 2010 (CET) |
||
Das ergibt technisch keinen Sinn. Was hat ein Download mit ISAPI zu tun? Die ISAPI Extensions und Filter werden auf dem Server ausgeführt. Das bei vielen Webservern - auch eBay - die DLL teil der URL ist, ist unerheblich. Lediglich fehlerhafte Content-Transfer-Types führen dazu, dass der Client Browser denkt, es solle eine Datei namens XYZ.dll übertragen werden. Eine Interaktion Client Browser und seiner DLLs (Prozessraum und Libraries) mit dem IIS und ISAPI ist da doch garnicht vorgesehen. Ich würde mich näher an der englischen Fassung des Artikels orientieren und dieses Halbwissen streichen. Siehe http://msdn.microsoft.com/en-us/library/ms525172.aspx. |
|||
Version vom 1. März 2010, 22:58 Uhr
Zitat aus dem Artikel:
"Im Gegensatz zu Skript-Dateien sind ISAPI-Erweiterungen nicht lesbar, das heißt, ein Benutzer oder Hacker, der es schafft, direkt auf die Dateien am Webserver zuzugreifen und somit Passwörter und Benutzernamen ausfindig machen kann (übliche Attacke bei Linux-Systemen), kann einer ISAPI-Erweiterung keine sinnvollen Daten entnehmen."
Ich kenne mich mit ISAPI nicht aus, aber wenn es sich wie beschrieben um DLL Dateien handelt, kann man sehr wohl per Reverse Compiling oder Debugging im Stepmodus herausfinden, was die DLL allgemein macht und im besonderen, wo sie ihre Passwörter herbekommt. Ich finde es fast schon fahrlässig, das als Sicherheitsfeature darzustellen. -- 89.59.178.41 15:37, 29. Okt. 2008 (CET)
- Berechtigte Kritik. Ich habe das entschaerft: "Im Gegensatz zu Skript-Dateien sind ISAPI-Erweiterungen nicht in Klartext lesbar, was einen Angriff erschwert."
- Hier werden zudem ISAPI-Filter und ISAPI-Extensionen nicht deutlich genug unterschieden. Ich schaue da bei Gelegenheit noch einmal 'drueber. Traute Meyer 00:38, 1. Nov. 2008 (CET)
Einleitung
Voellig unverstaenlich fuer Leser ohne Vorkenntnisse ist der Satz "Für den Apache gibt es das mod_isapi..." ohne Erläuterung in der Einleitung (was ist mod_isapi?). Ich wuerde den Satz loeschen wollen wenn es keine Ergaenzung oder Einwaende gibt. Traute Meyer 21:28, 14. Nov. 2008 (CET)
- Ist entfernt. Traute Meyer 21:27, 6. Dez. 2008 (CET)
Nachteile aufzeigen
Es fehlt der Hinweis, daß .dll Dateien unkontrolliert vom Anwender ausgeführt werden. Bei unbekannten, dynamisch über den Browser geladenen steigt das Sicherheitsrisiko drastisch. Ebay versucht die ebayISAPI.dll zum Ende einer Session auf den Rechner zu laden. "Ein Schelm, der Gutes dabei denkt....."-- Docjschulz 00:29, 24. Jan. 2010 (CET)
Das ergibt technisch keinen Sinn. Was hat ein Download mit ISAPI zu tun? Die ISAPI Extensions und Filter werden auf dem Server ausgeführt. Das bei vielen Webservern - auch eBay - die DLL teil der URL ist, ist unerheblich. Lediglich fehlerhafte Content-Transfer-Types führen dazu, dass der Client Browser denkt, es solle eine Datei namens XYZ.dll übertragen werden. Eine Interaktion Client Browser und seiner DLLs (Prozessraum und Libraries) mit dem IIS und ISAPI ist da doch garnicht vorgesehen. Ich würde mich näher an der englischen Fassung des Artikels orientieren und dieses Halbwissen streichen. Siehe http://msdn.microsoft.com/en-us/library/ms525172.aspx.