schokokeks.org

Wir möchten hier kurz über ein für uns überraschendes Sicherheitsproblem berichten, das wir auf unseren Systemen gefunden haben.

Wir hatten vor langer Zeit häufiger das Problem, dass in Nutzerverzeichnissen Dateien lagen, die einem anderen Nutzer gehören. Der Hauptgrund hierfür war, dass wir damals PHP-Code mit den Rechten des Apache-Nutzers ausgeführt haben. Das machen wir schon lange nicht mehr so, in unserem aktuellen Setup führen wir PHP-Code mittels FPM mit Nutzerrechten aus.

Auf dem zur Zeit stattfindenden 28. Chaos Communication Congress (28C3) wurde heute ein Angriff gegen eine Reihe von Programmiersprachen vorgestellt. Der Angriff basiert auf einem Problem bei der Implementierung sogenannter Hash-Tables und betrifft unter anderem die beliebte Web-Programmiersprache PHP. Mit wenig Aufwand kann damit ein Webserver überlastet werden, auf dem eine beliebige PHP-Applikation läuft.

Wir haben unseren Kunden schon sehr früh einen Umstieg auf die Version 5.3 von PHP angeboten. Dabei gab es zahlreiche Probleme zu beheben, viele Webapplikationen liefen nicht auf Anhieb mit der neuen Version. Deshalb hatten wir für längere Zeit unseren Kunden die Wahl gelassen: Virtuelle Hosts konnten entweder mit PHP 5.2 oder 5.3 laufen.

Inzwischen ist jedoch der Zeitpunkt gekommen, sich von PHP 5.2 endgültig zu verabschieden - wir haben es kürzlich von unseren Servern entfernt.

Ein leidiges Problem mit https-Seiten ist, dass sie, zumindest bei Shared-Hosting-Umgebungen, meist mit falschen Zertifikaten ausgeliefert werden. Das Problem besteht darin, dass in der Vergangenheit eine IP lediglich ein Zertifikat ausliefern konnte.

Inzwischen gibt es eine Erweiterung des SSL/TLS-Standards mit dem Namen »Server Name Indication«, welche genau dieses Problem löst. Ab sofort bieten wir auf schokokeks.org an, dass Kunden über SNI eigene https/ssl-Zertifikate für ihre Domains nutzen können.

Clientseitig funktioniert dies bereits in den meisten Browsern. Firefox, Opera und IE unterstützen dies in der jeweils aktuellen Version, Konqueror wird ab KDE 4 dabei sein. Safari unterstützt im Moment SNI noch nicht.

Wir empfehlen weiterhin, Zertifikate von der freien Zertifizierungsstelle CAcert unterschreiben zu lassen, wir verteilen auch als Assurer Punkte für CAcert.