Ist Basic access authentication wirklich sicher?

[CyborgBeta]

Ich dachte du beziehst dich auf deinen Post 12, aber anscheinend hast du dich auf den Post von @mae1cum77 bezogen?

Sehe ich auch so. Deswegen bin ich auch freundlich geblieben.

Ohne SSL (bzw. dem Nachfolger TLS) ist wahrscheinlich gemeint gar keine Verschlüsselung zu verwenden. Dadurch werden die Anmdeldedaten inkl. Passwörter und die Dateien unverschlüsselt übertragen. Grundsätzlich kann jeder über den die Daten geleitet werden oder über Funk erreichen unverschlüsselte oder nicht ausreichend verschlüsselte Daten mitspeichern und auswerten. Natürlich gibt es auch andere Verschlüsselungsstandards die man einsetzen könnte wenn sie von der jeweiligen Anwendung unterstützt wird.

Das weis man nicht. Das können staatliche Organe, Betrüger und Hacker sein.

Du musst dich vor denen schützen die die technischen Möglichkeiten und Kompetenz haben.

Ok, du hast ja recht... Ich bin mir nicht sicher, ob ich das hinterher nicht bereuen werde (hier lesen immerhin schon 500 Leute mit...),

aber versucht doch mal, hier einzubrechen:

(edit)

Tipp: Benutzername fängt mit k an... und das Passwort ist zufällig gewählt und hat 10 bis 12 Zeichen...

Wer es schafft und mir sagen kann, was auf der Seite steht, dem überweise ich 10 € in einer Kryptowährung seiner Wahl...

Viel Spaß :/

 

[joshim]

10 € in einer Kryptowährung

Also nix?^^

 

[CyborgBeta]

Also nix?^^

Mehr kann ich mir nicht leisten^^

 

[eigs]

aber versucht doch mal, hier einzubrechen:

Apache/2.4.52 (Ubuntu) Server at . Port 443

CVE-2022-22720
HTTP request smuggling vulnerability in Apache HTTP Server 2.4.52 and earlier

Quelle: https://knowledge.broadcom.com/external/article/237408/vulnerabilities-with-apache-2452-and-old.html

Der Server gehört aktualisiert.
Auch wenn ihn keiner für 10 € hackt macht ihn das nicht sicher. Viele Angriffe passieren weitgehend automatisiert durch Bots.

 

[CyborgBeta]

Ja, ich ärgere mich auch etwas, dass der so einfach seine Versionsnummer preisgibt...

Aber dennoch, a) HTTP ist doch gar nicht aktiviert, b) und was könnte mit der Schwachstelle erreicht werden?

Aber da mir das dennoch etwas heikel wird, stelle ich den Webserver (Apache) morgen Mittag aus.

 

[s1ave77]

@CyborgBeta Nicht entmutigen lassen, ist noch kein Meister vom Himmel gefallen .

War vor einer Weile auch auf der Suche nach einer Möglichkeit, einen selbstgehosteten Server zu sichern. Mittel der Wahl wurde, nach einigen Experimenten, ein Docker-Stack mit Traefik v2 als Proxy. Der Tipp von @LieberNetterFlo war perfekt dafür.

Ist am Anfang eine steile Lernkurve, aber das Egebnis spricht für sich. Traefik ermöglicht die Einbindung von Google OAuth2 zur Zugangssicherung und kümmert sich um Zertifikate & Co. Einmal konfiguriert werden alle Features über 'Middlewares' an die nachgestellten Container 'vererbt'. Das Ganze mit Fail2Ban für die wichtigsten Zugänge und automatischem Update der DynDNS-Adresse.

Durch das Docker-Compose-YML-Skript ist der ganze Stack mit 2 Befehlen aktualisiert. Ein pull zieht neue Versionen aus den Repos und ein up -d erstellt und startet diese. Ab und zu die ungenutzten alten Volumes löschen und das war's.

Die Authentifizierung über ein verbundenes Googlekonto scheint abschreckend, zumindest meldet Fail2Ban bisher keine Einbruchsversuche über diesen Weg. Nur SSH wird regelrecht bombardiert wenn zugänglich von außen.

 

[CyborgBeta]

So, ich beende das Experiment (möchte nicht noch mehr Aufmerksamkeit anziehen)... Vielen Dank für euere Antworten und Anregungen!

@eigs Könntest du vielleicht dein Posting nochmal editieren?

@mae1cum77 Ein Docker-Container scheint mir auch eine gute Wahl... Aber ich hab etwas Schiss vor der Konfiguration...

 

[s1ave77]

Aber ich hab etwas Schiss vor der Konfiguration...

Ist mit Docker-Compose recht übersichtlich, wenn man es mal 'durchschaut' hat. Dann reichen wenige Befehle und der Stack wird geladen/gestartet oder beendet. Bei Veränderungen wird das on-the-fly neu erzeugt.

Traefik hat zudem ein gutes Dashboard, wo man schnell Fehler erkennt und auch Hinweise gegeben werden, was klemmt.

In meiner Signatur ist der Link zu meinem kleinen Projekt. Als Grundlage dient ein gutes Tutorial: https://www.smarthomebeginner.com/traefik-2-docker-tutorial. Das liefert eine gute Basis.

Kompliziert ist die Ersteinrichtung, aber beileibe keine Raketenwissenschaft. Habe das als Quereinsteiger nach einigen Mühen hinbekommen.

Wenn Traefik mit OAuth2 und Zertifikat(en) einmal steht, ist der Rest relativ einfach. Mein Thread liefert haufenweise Code-Beispiele.

 

[BeBur]

Meiner Meinung nach ist es die zusätzliche Komplexität nicht wert, wenn man nur 2-3 kleinere Dienste (wie sshd) betreibt und keinerlei Erfahrung mit dem Docker Ökosystem hat. Kann ja alles klappen, auch dauerhaft, aber wenn es mal Probleme gibt, dann funktionieren direkt viele Suchergebnisse nicht mehr, man weiß nicht, ob es nun an Docker liegt, man muss erstmal heraus finden, wie man sich einloggt, Dinge rein/rauskopiert etcetcetc.

 

[s1ave77]

Bin mit dem wenigen Wissen, daß ich mir erarbeitet habe, noch nicht auf unlösbare Probleme gestoßen.

Selbst die echt zickige Nextcloud ließ sich nach etwas Recherche bändigen. Der integrierte Selbsttest und das Traefik-Dashboard sind ungemein hilfreich.

Direkter Zugriff auf die Container ist eher selten nötig. Das meiste wird über die Volumes definiert, die liegen zugänglich im User-Ordner.

Vorteil ist dann eindeutig die einfache Handhabung über das Compose-Skript.

 

[eigs]

ich ärgere mich auch etwas, dass der so einfach seine Versionsnummer preisgibt...

Auch wenn er die Versionsnummer nicht anzeigen würde wird er dadurch nicht sicher.

HTTP ist doch gar nicht aktiviert

Aber der auf HTTP aufbauende Standard HTTPS.

was könnte mit der Schwachstelle erreicht werden?

Session hijacking
Web cache poisoning
Bypassing a web application firewall
Cross-site scripting

Aber da mir das dennoch etwas heikel wird, stelle ich den Webserver (Apache) morgen Mittag aus.

Schön, dass du meinen Rat befolgst. Zum lernen kann man eine abgeschotteten Umgebung (z.B. eine VM) verwenden.

@eigs Könntest du vielleicht dein Posting nochmal editieren?

Habe ich gemacht.

 

[CyborgBeta]

Danke 😊 ich überlege mir vielleicht noch mal etwas zum "Üben".

 

[joshim]

Session hijacking
Web cache poisoning
Bypassing a web application firewall
Cross-site scripting

Wenn auf dem Apache eh nix läuft, ist das alles total irrelevant.

 

[CyborgBeta]

Wenn auf dem Apache eh nix läuft, ist das alles total irrelevant.

ja, schon... Ziel war es ja, herauszufinden, was auf der index.html steht... (eine statische Nachricht) wurst jetzt.