Aktuelles Kontakt Über das RRZ Benutzung des RRZ Hinweise für Studierende Beratung und Hilfe IT-Sicherheit E-Mail Lehrangebot/Kurse Computer-Arbeitsplätze Drucken STiNE E-Learning Medienkompetenz Software-Angebot Internet, Kommunikation WWW Beratung Webauftritte Webanwendungen Beantragung Zugang Layout und Corporate Design Werkzeuge Sicherheitshinweise Datenschutz Datenbankserver Proxy-Cache Server-Systeme Dokumenten-Management RRZN-Handbücher Bibliothekstechnik Telefondienste Projekte

Sicherheitshinweise zum Betrieb eines Webauftritts

Auf den Webservern und insbesondere auf den Webapplikationsservern wird Ihnen die Möglichkeit angeboten, eigene oder Fremdsoftware zu installieren. Damit tragen Sie aber auch die Verantwortung für die Software oder die in Ihrem Webauftritt hinterlegten Dateien und Dokumente. Sicherheitslücken in Webapplikationen, Fehlkonfigurationen oder zu offene Zugriffsbeschränkungen können nicht nur Ihren Webanwendung, sondern den Betrieb des gesamten Servers gefährden. Bitte beachten Sie folgende Hinweise, um einen sicheren Betrieb zu gewährleisten:

Wählen Sie Ihre Software sorgfältig aus: Installieren Sie niemals veraltete Versionen oder Software, die nicht mehr weiterentwickelt wird. Nutzen Sie keine Software, die noch in der Testphase ist oder bei der Sie die Zuverlässigkeit nicht einschätzen können.
Patchen Sie Ihre Applikationen. Informationen zu Sicherheitslücken finden Sie zum Beispiel bei Securityfocus oder beim DFN-CERT.
Führen Sie ein Upgrade auf eine aktuelle Versionen Ihrer Applikation spätestens dann durch, wenn für die eingesetzte Version keine Patches mehr angeboten werden.
Machen Sie sich mit den Linux-Dateirechten vertraut: Geben Sie nie Verzeichnissen oder Dateien das weltweite Schreibrecht. Entziehen Sie Dateien, die sensible Daten enthalten, auch das weltweite Leserecht und möglichst auch der Gruppe das Leserecht. Nutzen Sie generell die restriktivste Einstellung der Dateirechte, die für den gedachten Verwendungzweck möglich ist.
Schränken Sie den Zugriff auf Formulare, Loginseiten usw. ein: Prüfen Sie, ob Sie den Zugriff auf solche Webseiten auf das Netz der Universität oder noch weiter beschränken können (z.B. über eine lokale .htaccess-Datei).
Schreiben Sie nie Paßwörter im Klartext in Dokumente oder Skripte in Ihrem Documentroot (Webverzeichnis) oder einem Unterverzeichnis darunter. Speichern Sie sie stattdessen z.B. in Variablen, die an einem sicheren Ort mit Werten belegt werden.
Nutzen Sie Verschlüsselung (https, SSL) für die Übertragung sensibler Daten oder bei Webseiten, die eine Anmeldung mit Paßwort erfordern.
Nutzen Sie die zentrale PhpMyAdmin-Installation des RRZ zur Administration Ihrer Datenbank, wenn Sie ein graphisches Werkzeug nutzen wollen. Installieren Sie PhpMyAdmin oder ähnliche Werkzeuge nicht selber: in der Vergangenheit zeigte sich PhpMyAdmin chronisch anfällig für Sicherheitslücken.
Sprechen Sie uns an (Serviceline), wenn Sie Fragen haben oder den Verdacht hegen, daß irgendetwas mit einem Webauftritt nicht stimmt oder Sie ein unerklärliches Verhalten des Servers beobachten.

Autor: Thies Meincke, Stand: 25.04.2012 13:57 Uhr


	Impressum