[Talk-de] Wie Kartenbereich aus API-Export rendern
Manuel Reimer
Manuel.Spam at nurfuerspam.de
Mo Jun 20 21:48:14 UTC 2011
M∡rtin Koppenhoefer wrote:
> vor 5 Mails hattest Du noch geschrieben, dass Du keine Postgresdb
> brauchst/willst, und nun sorgst Du Dich, dass sich jemand
> Unauthorisiertes dort als Superuser einloggen könnte und evtl. Daten
> kaputtmacht?
Irgendwie hatte ich in Erinnerung, dass SQL durchaus auch Befehle kennt, um
Shellcode auszuführen. Ich kenne SQL aber nur im groben und habe auf die
Schnelle auch mit Google keinen Hinweis darauf gefunden, dass SQL offiziell
solche Befehle kennt, bzw. welcher SQL-Server solch ein IMHO etwas unnötiges
Feature offiziell anbietet.
Vermutlich habe ich das aber mit SQL-Injections verwechselt, die ja genutzt
werden, um SQL-Befehle auszuführen, die an der Stelle nicht erlaubt gewesen
wären. Damit werden dann aber doch eher Daten aus der Datenbank gelesen, die das
anfällige Webinterface normalerweise nicht anbieten dürfte.
> Da ich zugegebenermaßen keine Ahnung von
> Systemsicherheit habe (o.g. beruht auf Ausprobieren) würde ich mich
> allerdings nicht beschweren, wenn hier ein paar Tips kämen, wie man
> das ganze sicherer machen kann, und ob ich mich mit vorigen Annahmen
> evtl. täusche.
Ich bin zwar (leider) in dem Fall auch kein Profi, aber ich kann dir zumindest
sicher sagen, das zumindest bei mir die Standardeinstellung war, dass postgresql
nur auf 127.0.0.1 gelauscht hat. Von außen also nicht erreichbar. Man müsste das
mutwillig anders konfigurieren um Zugriff vom LAN zu erlauben. Vermutlich wird
das nur in Umgebungen interessant sein, in denen Webserver und Datenbankserver
verschiedene Maschinen sind.
Wenn überhaupt, dann ist die Datenbank also nur vom lokalen Host erreichbar und
das ganze läuft unter einem nicht privilegiertem User (wie von Frederik bereits
geschrieben).
Gruß
Manuel
Mehr Informationen über die Mailingliste Talk-de