Hallo liebe Opencaching Community,
nach meinem Posting in Entwicklung habe ich noch ein paar Punkte zur Infrastruktur von opencaching.de gefunden:
(1) X-Powered-By Header entfernen / nicht exakte Version anzeigen
Umsetzung: einfach
Prio: niedrig
Hintergrund:
Für einen Angreifer ist erkennbar welche PHP Version eingesetzt wird und kann daraus Schlüsse für mögliche Angriffsvektoren ziehen.
Lösung:
In den Optionen deaktivieren, bzw. so setzen, dass nur noch die Major Version mitgesendet wird.
(2) E-Mail-Server richtig konfigurieren
Umsetzung: einfach
Prio: mittel
Hintergrund:
Euer DNS Eintrag zum E-Mail-Server ist nicht korrekt. Es gibt zwei MX Einträge:
webbox442.server-home.org prio 10
mx.opencaching.de prio 20
Beide verweisen auf eine IP: 83.220.144.22.
Somit ist keine Redundanz gegeben und ein MX Eintrag reicht.
Vorschlag:
In diesem Fall ist webbox442.server-home.org korrekt, da hier auch das richtige Zerifikat zurückgeliefert wird.
Test: https://ssl-tools.net/mailservers/opencaching.de
(3) E-Mail-Server richtig konfigurieren
Umsetzung: einfach
Prio: mittel
Hintergrund:
Es wird ein noch komplett nutzloses Chipher unterstützt:
RSA_EXPORT_WITH_RC4_40_MD5
Lösung:
Weg mit dem Mist.
(4) IPv6 unterstützen (Feature)
Umsetzung: komplex
Prio: hoch
Begründung:
IPv6 wird immer wichtiger, Mobilfunknetze/Kabelnetze sind nativ IPv6 und haben nur noch ein IPv4 NAT. Wichtig ist auch, dass z.B. Apple es für Apps zur Pflicht gemacht hat IPv6 zu unterstützen -> wichtig falls App auf die OC API zugreift...
Mögliche Probleme:
- OC Provider muss IPv6 unterstützen
- Firewall muss evtl. zusätzlich konfiguriert werden
- AAAA DNS Record setzen
- Software von oc-server3 anpassen (das ist vermutlich der komplexe Teil)
Ich freue mich auf eure Rückmeldungen.
Beste Grüße
Rotzbua
Ungünstige Konfigurationen der Infrastruktur
moin Rotzbua,
vielen dank schon mal fuer deine analyse, meine antworten unten inline...
[quote="Rotzbua"]
[...]
(1) X-Powered-By Header entfernen / nicht exakte Version anzeigen
Umsetzung: einfach
Prio: niedrig
Hintergrund:
Für einen Angreifer ist erkennbar welche PHP Version eingesetzt wird und kann daraus Schlüsse für mögliche Angriffsvektoren ziehen.
Lösung:
In den Optionen deaktivieren, bzw. so setzen, dass nur noch die Major Version mitgesendet wird.
[/quote]
darauf wurde schon mal hingewiesen und wir hatten es angepasst, ich vermute mal, dass ist beim umzug vergessen worden... ich schreibe es auf meine liste...
[quote="Rotzbua"]
(2) E-Mail-Server richtig konfigurieren
Umsetzung: einfach
Prio: mittel
Hintergrund:
Euer DNS Eintrag zum E-Mail-Server ist nicht korrekt. Es gibt zwei MX Einträge:
webbox442.server-home.org prio 10
mx.opencaching.de prio 20
Beide verweisen auf eine IP: 83.220.144.22.
Somit ist keine Redundanz gegeben und ein MX Eintrag reicht.
Vorschlag:
In diesem Fall ist webbox442.server-home.org korrekt, da hier auch das richtige Zerifikat zurückgeliefert wird.
Test: https://ssl-tools.net/mailservers/opencaching.de
[/quote]
generell korrekt, aber nichts was wirklich stoert... ich vermute mal, dass es auch ein ueberbleibsel des umzuges ist und nehme es mit auf meine liste...
[quote="Rotzbua"]
(3) E-Mail-Server richtig konfigurieren
Umsetzung: einfach
Prio: mittel
Hintergrund:
Es wird ein noch komplett nutzloses Chipher unterstützt:
RSA_EXPORT_WITH_RC4_40_MD5
Lösung:
Weg mit dem Mist.
[/quote]
gerne, nur leider ist das ein gesponsortes mail-hosting und wir haben keinen einfluss auf die konfiguration, bzw. die aktualitaet der verwendeten serversoftware...
[quote="Rotzbua"]
(4) IPv6 unterstützen (Feature)
Umsetzung: komplex
Prio: hoch
Begründung:
IPv6 wird immer wichtiger, Mobilfunknetze/Kabelnetze sind nativ IPv6 und haben nur noch ein IPv4 NAT. Wichtig ist auch, dass z.B. Apple es für Apps zur Pflicht gemacht hat IPv6 zu unterstützen -> wichtig falls App auf die OC API zugreift...
Mögliche Probleme:
- OC Provider muss IPv6 unterstützen
- Firewall muss evtl. zusätzlich konfiguriert werden
- AAAA DNS Record setzen
- Software von oc-server3 anpassen (das ist vermutlich der komplexe Teil)
[...]
[/quote]
nur weil apple (oder auch google) meinen etwas durchsetzen zu wollen, heisst das noch lange nicht, dass jeder server-admin alles stehen und liegenlassen muss...
richtig ist auch, dass man sich neuen technologien nicht verschliessen sollte, aber in meiner doch schon einige jahre umfassenden it-erfahrung war es bislang nicht notwendig sich naeher damit zu befassen, ja es wird immer wieder gesagt und geschrieben ipv4-addressen gehen zur neige, aber das wurde auch schon vor 10 jahren gesagt und ipv4 ist in europa und amerika eigentlich immer noch standard...
ja, das thema wird irgendwann angegangen werden (muessen), aber nicht mit hoher prioritaet...
gruss Nils
vielen dank schon mal fuer deine analyse, meine antworten unten inline...
[quote="Rotzbua"]
[...]
(1) X-Powered-By Header entfernen / nicht exakte Version anzeigen
Umsetzung: einfach
Prio: niedrig
Hintergrund:
Für einen Angreifer ist erkennbar welche PHP Version eingesetzt wird und kann daraus Schlüsse für mögliche Angriffsvektoren ziehen.
Lösung:
In den Optionen deaktivieren, bzw. so setzen, dass nur noch die Major Version mitgesendet wird.
[/quote]
darauf wurde schon mal hingewiesen und wir hatten es angepasst, ich vermute mal, dass ist beim umzug vergessen worden... ich schreibe es auf meine liste...
[quote="Rotzbua"]
(2) E-Mail-Server richtig konfigurieren
Umsetzung: einfach
Prio: mittel
Hintergrund:
Euer DNS Eintrag zum E-Mail-Server ist nicht korrekt. Es gibt zwei MX Einträge:
webbox442.server-home.org prio 10
mx.opencaching.de prio 20
Beide verweisen auf eine IP: 83.220.144.22.
Somit ist keine Redundanz gegeben und ein MX Eintrag reicht.
Vorschlag:
In diesem Fall ist webbox442.server-home.org korrekt, da hier auch das richtige Zerifikat zurückgeliefert wird.
Test: https://ssl-tools.net/mailservers/opencaching.de
[/quote]
generell korrekt, aber nichts was wirklich stoert... ich vermute mal, dass es auch ein ueberbleibsel des umzuges ist und nehme es mit auf meine liste...
[quote="Rotzbua"]
(3) E-Mail-Server richtig konfigurieren
Umsetzung: einfach
Prio: mittel
Hintergrund:
Es wird ein noch komplett nutzloses Chipher unterstützt:
RSA_EXPORT_WITH_RC4_40_MD5
Lösung:
Weg mit dem Mist.
[/quote]
gerne, nur leider ist das ein gesponsortes mail-hosting und wir haben keinen einfluss auf die konfiguration, bzw. die aktualitaet der verwendeten serversoftware...
[quote="Rotzbua"]
(4) IPv6 unterstützen (Feature)
Umsetzung: komplex
Prio: hoch
Begründung:
IPv6 wird immer wichtiger, Mobilfunknetze/Kabelnetze sind nativ IPv6 und haben nur noch ein IPv4 NAT. Wichtig ist auch, dass z.B. Apple es für Apps zur Pflicht gemacht hat IPv6 zu unterstützen -> wichtig falls App auf die OC API zugreift...
Mögliche Probleme:
- OC Provider muss IPv6 unterstützen
- Firewall muss evtl. zusätzlich konfiguriert werden
- AAAA DNS Record setzen
- Software von oc-server3 anpassen (das ist vermutlich der komplexe Teil)
[...]
[/quote]
nur weil apple (oder auch google) meinen etwas durchsetzen zu wollen, heisst das noch lange nicht, dass jeder server-admin alles stehen und liegenlassen muss...
richtig ist auch, dass man sich neuen technologien nicht verschliessen sollte, aber in meiner doch schon einige jahre umfassenden it-erfahrung war es bislang nicht notwendig sich naeher damit zu befassen, ja es wird immer wieder gesagt und geschrieben ipv4-addressen gehen zur neige, aber das wurde auch schon vor 10 jahren gesagt und ipv4 ist in europa und amerika eigentlich immer noch standard...
ja, das thema wird irgendwann angegangen werden (muessen), aber nicht mit hoher prioritaet...
gruss Nils
gruss Nils (bohrsty)
Danke für deine Rückmeldung.
[quote="bohrsty"]
nur weil apple (oder auch google) meinen etwas durchsetzen zu wollen, heisst das noch lange nicht, dass jeder server-admin alles stehen und liegenlassen muss... [/quote]
Natürlich, wäre ja noch schöner
. OT: Leider haben sie halt riesiges KnowHow in diesen Bereichen und leider auch die Marktmacht. Aber nicht alles ist schlecht was sie entwickeln.
[quote="bohrsty"]
richtig ist auch, dass man sich neuen technologien nicht verschliessen sollte, aber in meiner doch schon einige jahre umfassenden it-erfahrung war es bislang nicht notwendig sich naeher damit zu befassen, ja es wird immer wieder gesagt und geschrieben ipv4-addressen gehen zur neige, aber das wurde auch schon vor 10 jahren gesagt und ipv4 ist in europa und amerika eigentlich immer noch standard...
ja, das thema wird irgendwann angegangen werden (muessen), aber nicht mit hoher prioritaet...
[/quote]
Mein Prio hoch bezog sich hauptsächlich auf die Softwareumsetzung, wenn ich das richtig gesehen hab würde IPv6 nicht mit dem Brutfore-Schutz beim Login funktionieren.
Meine hohe Prio bezog sich auch noch auf die Klärung ob Apps schon Probleme haben, weil es wäre schade wenn OC aus Apps verschwindet.
Das IPv6 bei Apple zwingend ist hab ich hier gelesen: http://www.heise.de/mac-and-i/meldung/Apple-erzwingt-IPv6-Kompatibilitaet-bei-iOS-Apps-3197620.html
Edit: Wenn ich die Original Nachricht lese, hört sich das eher so an als wäre damit gemeint, dass die verwendete Netzwerkklasse IPv6 unterstützen muss: https://developer.apple.com/news/?id=05042016a
Nach kurzer Recherche wäre z.B. diese App betroffen (wurde vor der Deadline veröffentlicht): https://itunes.apple.com/de/app/geocach ... 46724?mt=8
Natürlich kann man das auch Theoretisch über einen Proxy kurzzeitig kompensieren, falls es nötig ist.
Wichtig finde ich die Frage ob denn euer Provider IPv6 überhaupt zulässt und dies auch bis zum Server durch kommt, scheitert dort ja meistens.
Bei meinen eigenen Servern waren es nicht mehr 3 Zeilen in Konfiguration und schon lief es, von daher bin ich auf IPv6 eigentlich gut zu sprechen.
[quote="bohrsty"]
nur weil apple (oder auch google) meinen etwas durchsetzen zu wollen, heisst das noch lange nicht, dass jeder server-admin alles stehen und liegenlassen muss...
[/quote]Natürlich, wäre ja noch schöner
. OT: Leider haben sie halt riesiges KnowHow in diesen Bereichen und leider auch die Marktmacht. Aber nicht alles ist schlecht was sie entwickeln.[quote="bohrsty"]
richtig ist auch, dass man sich neuen technologien nicht verschliessen sollte, aber in meiner doch schon einige jahre umfassenden it-erfahrung war es bislang nicht notwendig sich naeher damit zu befassen, ja es wird immer wieder gesagt und geschrieben ipv4-addressen gehen zur neige, aber das wurde auch schon vor 10 jahren gesagt und ipv4 ist in europa und amerika eigentlich immer noch standard...
ja, das thema wird irgendwann angegangen werden (muessen), aber nicht mit hoher prioritaet...
[/quote]
Mein Prio hoch bezog sich hauptsächlich auf die Softwareumsetzung, wenn ich das richtig gesehen hab würde IPv6 nicht mit dem Brutfore-Schutz beim Login funktionieren.
Meine hohe Prio bezog sich auch noch auf die Klärung ob Apps schon Probleme haben, weil es wäre schade wenn OC aus Apps verschwindet.
Das IPv6 bei Apple zwingend ist hab ich hier gelesen: http://www.heise.de/mac-and-i/meldung/Apple-erzwingt-IPv6-Kompatibilitaet-bei-iOS-Apps-3197620.html
Edit: Wenn ich die Original Nachricht lese, hört sich das eher so an als wäre damit gemeint, dass die verwendete Netzwerkklasse IPv6 unterstützen muss: https://developer.apple.com/news/?id=05042016a
Nach kurzer Recherche wäre z.B. diese App betroffen (wurde vor der Deadline veröffentlicht): https://itunes.apple.com/de/app/geocach ... 46724?mt=8
Natürlich kann man das auch Theoretisch über einen Proxy kurzzeitig kompensieren, falls es nötig ist.
Wichtig finde ich die Frage ob denn euer Provider IPv6 überhaupt zulässt und dies auch bis zum Server durch kommt, scheitert dort ja meistens.
Bei meinen eigenen Servern waren es nicht mehr 3 Zeilen in Konfiguration und schon lief es, von daher bin ich auf IPv6 eigentlich gut zu sprechen
.
Zuletzt geändert von Rotzbua am 12.06.2016, 18:53, insgesamt 1-mal geändert.