[Talk-de] Wie Kartenbereich aus API-Export rendern

Manuel Reimer Manuel.Spam at nurfuerspam.de
Mo Jun 20 21:48:14 UTC 2011


M∡rtin Koppenhoefer wrote:
> vor 5 Mails hattest Du noch geschrieben, dass Du keine Postgresdb
> brauchst/willst, und nun sorgst Du Dich, dass sich jemand
> Unauthorisiertes dort als Superuser einloggen könnte und evtl. Daten
> kaputtmacht?

Irgendwie hatte ich in Erinnerung, dass SQL durchaus auch Befehle kennt, um 
Shellcode auszuführen. Ich kenne SQL aber nur im groben und habe auf die 
Schnelle auch mit Google keinen Hinweis darauf gefunden, dass SQL offiziell 
solche Befehle kennt, bzw. welcher SQL-Server solch ein IMHO etwas unnötiges 
Feature offiziell anbietet.

Vermutlich habe ich das aber mit SQL-Injections verwechselt, die ja genutzt 
werden, um SQL-Befehle auszuführen, die an der Stelle nicht erlaubt gewesen 
wären. Damit werden dann aber doch eher Daten aus der Datenbank gelesen, die das 
anfällige Webinterface normalerweise nicht anbieten dürfte.

> Da ich zugegebenermaßen keine Ahnung von
> Systemsicherheit habe (o.g. beruht auf Ausprobieren) würde ich mich
> allerdings nicht beschweren, wenn hier ein paar Tips kämen, wie man
> das ganze sicherer machen kann, und ob ich mich mit vorigen Annahmen
> evtl. täusche.

Ich bin zwar (leider) in dem Fall auch kein Profi, aber ich kann dir zumindest 
sicher sagen, das zumindest bei mir die Standardeinstellung war, dass postgresql 
nur auf 127.0.0.1 gelauscht hat. Von außen also nicht erreichbar. Man müsste das 
mutwillig anders konfigurieren um Zugriff vom LAN zu erlauben. Vermutlich wird 
das nur in Umgebungen interessant sein, in denen Webserver und Datenbankserver 
verschiedene Maschinen sind.

Wenn überhaupt, dann ist die Datenbank also nur vom lokalen Host erreichbar und 
das ganze läuft unter einem nicht privilegiertem User (wie von Frederik bereits 
geschrieben).

Gruß

Manuel





Mehr Informationen über die Mailingliste Talk-de