Rechnernetze

HTTP (Zugang zum WWW)

HTTP ist das Standardprotokoll im Web und gewährleistet die Übertragung von Web-Seiten mit multimedialen Inhalten. Dargestellt werden diese Seiten mit Hilfe von Browsern, die sich bzgl. ihrer Plug-Ins um weitere Anzeigefähigkeiten (z.B. MPEG-Videos, PS-Dokumente) erweitern lassen. HTTP-Clients sind damit der Willkür der Plug-Ins ausgeliefert, wenn sie nicht auf bestimmte Inhalte verzichten mögen.

Beispielsweise verfügt die PostScript-Sprache (PS) aus historischen Gründen über Befehle zum Lesen, Schreiben und Löschen von Dateien. PostScript-Viewer unterstützen diese aus Gründen der Kompatibilität. Bei einer Anzeige können so alle Dateien des aktuellen Verzeichnisses dargestellt werden. Inzwischen gibt es zwar Möglichkeiten einer sicheren Konfiguration solcher Plug-Ins, jedoch können Benutzer sehr erfinderisch werden, wenn es um für sie interessante Inhalte geht. Hier kann nur eine sorgfältig ausgewählte und konfigurierte Sammlung von Plug-Ins zusammen mit einer entsprechenden Aufklärung der Benutzer weiterhelfen.

Umgekehrt kann auch externer Client einen Anschlag auf den HTTP-Server verüben. Dagegen hilft zum einen die Einschränkung des für den Server sichtbaren Bereichs durch den Befehl chroot (UNIX-Befehl zum unwiderruflichen Setzen des Wurzelverzeichnisses), eine kritische Konfiguration der Sicherheits- und Zugangskontrollfunktionen sowie der Betrieb des Servers unter einer mit Rechten minimal ausgestatteten Benutzerkennung. Zum anderen sollten keine geheimen Daten auf dem Server vorgehalten und die Verbindung zum internen Netzwerk auf ein Minimum zur Wartung reduziert werden, um bei erfolgreicher Einnahme des Servers den Schaden einzudämmen. Mit diesen Einschränkungen ist es ratsam, einen eigenen Bastion Host als HTTP-Server zu betreiben.

Der Einsatz von CGI-Skripten (Common Gateway Interface), beispielsweise zur Generierung einer Datenbankabfrage durch einen Client, muss ebenfalls gründlich auf Möglichkeiten zur Manipulation geprüft werden.