Sie befinden sich hier im Forenarchiv von phpforum.de wenn Sie direkt ins Forum möchten, klicken Sie bitte hier. Zur Startseite kommen Sie hier.

Xampp J/n ?

tach - ich hab mal ne ganz generelle frage.
ich habe nun in letzter zeit von vielen leuten gehoert, dass man XAMPP eher nur zur testzwecken und per localhost benutzen sollte. sobald es ersthafte anwendungen gibt, die auf dem server laufen sollen, solle man doch lieber apache und sql einzeln installieren! Warum?
ich weiss nicht ob das relevant ist, aber meine datenbank laeuft nur firmenintern. von aussen kann niemend auf die datenbank zugreifen. auch besitzt niemand in der firma selber das know-how um irgendwas daran zu veraendern.
handelt es sich um sicherheitsluecken im XAMPP paket - oder was ist das problem?

Hier gehts zum Orginal Eintrag "Xampp J/n ?" im Forum

Antworten

Auf den Seiten von apachefriends.org findet man:

Wie schon an anderer Stelle erwähnt ist XAMPP nicht für den Produktionseinsatz gedacht, sondern nur für Entwickler in Entwicklungsumgebungen. Das hat zur Folge, dass XAMPP absichtlich nicht restriktiv sondern im Gegenteil sehr offen vorkonfiguriert ist. Für einen Entwickler ist das ideal, da er so keine Grenzen vom System vorgeschrieben bekommt. Für einen Produktionseinsatz ist das allerdings überhaupt nicht geeignet.Hier eine Liste, der Dinge, die an XAMPP absichtlich(!) unsicher sind:

* Der MySQL-Administrator (root) hat kein Passwort.
* Der MySQL-Daemon ist übers Netzwerk erreichbar.
* PhpMyAdmin ist übers Netzwerk erreichbar.
* XAMPP Verzeichnis ist nicht geschützt.
* Bekannte Beispiel-Benutzer bei FileZilla FTP und dem Mercury Mail Server.

Alle diese aufgeführten Punkte können zu schwerwiegenden Sicherheitsproblemen führen, wenn der betreffende Rechner schutzlos und damit für jede außen stehende Person zugänglich im Internet agiert. Es ist somit jedem selbst überlassen, diese Lücken bei Bedarf zu schließen. In vielen Fällen reicht hierzu eine Firewall oder einfach eine Internetverbindung über einen externen Router aus. In beiden Fällen ist der Rechner in der Regel nicht von außen erreichbar. Eine erste Hilfe bietet auch die "XAMPP Sicherheitskonsole".

[xamppsecurity]

Wer den XAMPP in einem Netzwerk betreiben möchte, so dass der XAMPP-Server auch von anderen erreichbar ist, sollte unbedingt die folgende URL aufrufen, um die grobsten Sicherheitsprobleme zu beheben:

Bis Version 1.4.14:
http://127.0.0.1/xampp/xamppsecurity.php

Ab Version 1.4.15:
http://127.0.0.1/security

Neben einen Portcheck kann hier das root Passwort für MySQL und PhpMyAdmin sowie auch ein Verzeichnisschutz für die XAMPP-Seiten eingerichtet werden.

Allerdings kann diese webbasierte Konsole nicht (!) alle Sicherheitsprobleme einschränken. Beispielweise die notwendigen Änderungen der Konfiguration des FileZilla und des Mercury Servers, insbesondere der zulässigen Benutzer. Wer die beiden Server nicht benötigt, lässt diese erst gar laufen. Das ist dann auch sehr sicher!


2.

aber wie gesagt es wird nur firmenintern genuzt.
von aussen kann niemand auf das netzwerk zugreifen.
und hier in der firma gibt es eine netzwerkadministratorin die da was machen koennte - aber mit sicherheit daran kein interesse hat! ist es von noeten in so einer situation sich gross gedanken um sicherheit zu machen - doch eignetlich nicht oder???


Hier gehts zum Orginal Eintrag "Xampp J/n ?" im Forum
 
phpforum.de | Impressum