Seite 2 von 2 ErsteErste 1 2
Ergebnis 16 bis 27 von 27
  1. #16
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.996

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von Stefan S. Beitrag anzeigen
    Macht das nicht schon der grüne Balken?
    Sie meinen die Sicherheit durch ein SSL-Zertifikat? Das hat hiermit ja nicht direkt etwas zu tun. Ein SSL-Zertifikat schütz ja nicht vor schadhaftem Code auf der Webseite usw. Auch schaut sich das SSL-Zertifikat nicht regelmäßig die Webseite an.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  2. #17
    Reseller
    Registriert seit
    19.05.2003
    Beiträge
    178

    AW: SiteLock ... ein wenig irretiert?

    Guten Tag zusammen,

    offen bleibt hier aber noch, da gebe ich dem ganz ursprünglichen Verfasser recht, um was für eine Firewall es sich da handeln soll, die als Extra-Leistung gegenüber einer regulären, selbstverständlichen Firewall zubuchbar ist. Laut Beschreibung von Sitelock ist mit dieser Firewall ja weder der Scan gemeint, unter dem ich mir etwas vorstellen kann, noch das Content Delivery Network (das ich mir nach der Beschreibung mal wie einen Echtzeit-Traffic-Filter vorstellen würde - wenn das unzutreffend ist, bitte gerne eine Korrektur). Was also leistet konkret die im Sitelock enthaltene Firewall, was die DF-Standard-Firewall nicht leistet?

    Weitere Frage: Zitat aus den FAQ: "Der FTP-Scan scannt alle Dateien, die per FTP erreichbar sind. Hier ist jedoch zu beachten, dass identische FTP-Segment gewählt werden muss, wie von außen per http erreichbar ist.". Dazu: Ganz bewusst ist bei unserer agentureigenen Applikation der http-Root ein Verzeichnis unterhalb des "Quota-Roots" (bspw. "/www/") und dort - im http-root- liegt nur eine index.php und eben alles, was der Browser braucht, also Bilder, Css, JS u.s.w.. Die eigentliche Anwendung (PHP-Inc-Bibliotheken, Template-Dateien, systemeigener Cache) u.s.w. aber verzweigt sich aus dem Quota-Root (also bspw. "/includes/", "/templates/", "/cache/" als "Geschwister-Verzeichnisse von "/www/"). Zudem hat das Backoffice noch ein eigenes http-Root-Verzeichnis, auf das eine Subdomain zeigt (bspw. "/www_backoffice/"). Auch dort liegt nur eine index.php plus wie oben beschrieben. Das ist bewusst so gewählt, dass Dateien, die nur zum PHP-Include gedacht sind, außerhalb der http-Erreichbarkeit liegen. Kurz: FTP-Root und HTTP-Root sind eben nicht identisch. Heißt das also, Sitelock ist für Websites mit dieser Architektur nicht nutzbar? Klar können wir einen zusätzlichen FTP-Account auf das http-Root-Verzeichnis legen, aber dann werden nur ein kleiner Teil der Dateien gescannt und insbesondere nicht der systemeigene Cache. Wenn schon ein Scan, will ich ja alles scannen und nicht nur "ein bisserl".

    Weitere Frage: was bedeutet das Angebot für Reseller? Kann ich Sitelock Protect mit bis zu 500 Seiten als Reseller buchen und auf die Endkunden "verteilen"?

    Weitere Frage: in den FAQ heißt es, Datenbanken werden nicht gescannt. Demnach werden bei der FTP-Option auch nur die Inhalte auf Datei-Ebene zur Untersuchung in den USA übertragen und nicht der Inhalt der Datenbanken. Ist das richtig? Mit Blick auf EUDSGV etc. heißt das also, so lange personenbezogene und schutzwürdige Daten nur in der Datenbank vorliegen und nicht auf Dateiebene wäre diese Übertragung als unkritisch anzusehen. Richtig?

    Weitere Frage: es ist da immer nur von FTP die Rede. Bei einem System, das die Sicherheit erhöhen soll, würde ich erwarten, dass mindestens SFTP zum Einsatz kommt. Ist dem so? Sonst wäre die FTP-Option ja mehr Schwachstelle als Sicherheitsgewinn.

    Danke und schönes Wochenende!

  3. #18
    Reseller Avatar von mhagge
    Registriert seit
    14.03.2005
    Beiträge
    1.670

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    Weitere Frage: in den FAQ heißt es, Datenbanken werden nicht gescannt. Demnach werden bei der FTP-Option auch nur die Inhalte auf Datei-Ebene zur Untersuchung in den USA übertragen und nicht der Inhalt der Datenbanken. Ist das richtig? Mit Blick auf EUDSGV etc. heißt das also, so lange personenbezogene und schutzwürdige Daten nur in der Datenbank vorliegen und nicht auf Dateiebene wäre diese Übertragung als unkritisch anzusehen. Richtig?
    Nur mal so eingeworfen: die MySQL-Zugangsdaten müssen zwangsläufig in irgendeiner Datei auf dem Webspace liegen, sonst kann sich die Anwendung nicht mit der DB verbinden. Der Unterschied ist daher fürchte ich nur marginal.
    ---
    Markus Hagge

  4. #19
    Reseller
    Registriert seit
    19.05.2003
    Beiträge
    178

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von mhagge Beitrag anzeigen
    Die MySQL-Zugangsdaten müssen zwangsläufig in irgendeiner Datei auf dem Webspace liegen, sonst kann sich die Anwendung nicht mit der DB verbinden. Der Unterschied ist daher fürchte ich nur marginal.
    Das ist zwar richtig, wäre aber lösbar, indem man eine Config-Datei wiederum außerhalb des Bereichs ablegt, der vom FTP-Scan erfasst wird. Da gibt es ja noch einige weitere Daten, die man als schutzwürdig einstufen würde, wie bspw. das Salt für AES-Verschlüsselung.

    Allerdings sind die MySQL-Server von DF ja nur lokal erreichbar, ob nur pro Webserver oder auch zwischen zwei DF-Webservern weiß ich gar nicht - ich hoffe und vermute ersteres. Wäre auch mal interessant zu wissen - gerne auch hierzu eine Antwort von DF. - Wer also Kenntnis von den MySQL-Zugangsdaten erlangt, müsste sich dann ein Webhosting-Paket entweder bei DF oder sogar speziell auf dem betreffenden Webserver verschaffen. Das ist zwar kein wasserdichter Schutz, aber zumindest eine zusätzliche Hürde. Ich denke da überwiegt der Sicherheitsgewinn bei Nutzung von Sitelock gegenüber dem Risiko, dass die MySQL-Zugangsdaten zur Firma SiteLock übertragen werden, solange Sitelock nicht von der Mafia betrieben wird. ;-)

  5. #20
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.614

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    Allerdings sind die MySQL-Server von DF ja nur lokal erreichbar, ob nur pro Webserver oder auch zwischen zwei DF-Webservern weiß ich gar nicht - ich hoffe und vermute ersteres.
    Zwischen 2 DF-Servern geht es nicht.

  6. #21
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.996

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    offen bleibt hier aber noch, da gebe ich dem ganz ursprünglichen Verfasser recht, um was für eine Firewall es sich da handeln soll, die als Extra-Leistung gegenüber einer regulären, selbstverständlichen Firewall zubuchbar ist. Laut Beschreibung von Sitelock ist mit dieser Firewall ja weder der Scan gemeint, unter dem ich mir etwas vorstellen kann, noch das Content Delivery Network (das ich mir nach der Beschreibung mal wie einen Echtzeit-Traffic-Filter vorstellen würde - wenn das unzutreffend ist, bitte gerne eine Korrektur). Was also leistet konkret die im Sitelock enthaltene Firewall, was die DF-Standard-Firewall nicht leistet?
    SiteLock kann den gesamten Traffic zu- und von dem Webserver auf schadhaften Code überprüfen und so sicher verhindern, dass dieser auf den Server gelangt. Hierzu werden die DNS-Einträge der Domain verändert, sodass diese auf den SiteLock-Service verweisen. Dort findet die Überprüfung statt und die Inhalte werden ggf. vom Webserver abgerufen. Zudem beinhaltet dieser SiteLock-Service ein sogenanntes "Content Delivery Network (CDN)", wodurch Sie zusätzlich positive Auswirkungen auf die Geschwindigkeit der Auslieferung Ihrer Inhalte erzielen. Da das CDN hier „nur“ ein Nebenfeature für die eigentliche Web Application Firewall und damit dem On-the-Fly-Scan ist, stehen weitere CDN-Features nicht zur Verfügung. Erweiterte Informationen zu den Funktionalitäten finden Sie hier:

    https://www.sitelock.com/web-application-firewall
    https://www.sitelock.com/truespeed-cdn

    Weitere Frage: Zitat aus den FAQ: "Der FTP-Scan scannt alle Dateien, die per FTP erreichbar sind. Hier ist jedoch zu beachten, dass identische FTP-Segment gewählt werden muss, wie von außen per http erreichbar ist.". Dazu: Ganz bewusst ist bei unserer agentureigenen Applikation der http-Root ein Verzeichnis unterhalb des "Quota-Roots" (bspw. "/www/") und dort - im http-root- liegt nur eine index.php und eben alles, was der Browser braucht, also Bilder, Css, JS u.s.w.. Die eigentliche Anwendung (PHP-Inc-Bibliotheken, Template-Dateien, systemeigener Cache) u.s.w. aber verzweigt sich aus dem Quota-Root (also bspw. "/includes/", "/templates/", "/cache/" als "Geschwister-Verzeichnisse von "/www/"). Zudem hat das Backoffice noch ein eigenes http-Root-Verzeichnis, auf das eine Subdomain zeigt (bspw. "/www_backoffice/"). Auch dort liegt nur eine index.php plus wie oben beschrieben. Das ist bewusst so gewählt, dass Dateien, die nur zum PHP-Include gedacht sind, außerhalb der http-Erreichbarkeit liegen. Kurz: FTP-Root und HTTP-Root sind eben nicht identisch. Heißt das also, Sitelock ist für Websites mit dieser Architektur nicht nutzbar? Klar können wir einen zusätzlichen FTP-Account auf das http-Root-Verzeichnis legen, aber dann werden nur ein kleiner Teil der Dateien gescannt und insbesondere nicht der systemeigene Cache. Wenn schon ein Scan, will ich ja alles scannen und nicht nur "ein bisserl".
    Es werden alle Dateien in der Quota ab dem im FTP-Account eingerichteten Verzeichnis (z. B. /webseiten) untersucht. In meinem Account sind es beispielsweise etwa 35.000. Nur andere Quotas halten den Scan natürlich auf.

    Weitere Frage: was bedeutet das Angebot für Reseller? Kann ich Sitelock Protect mit bis zu 500 Seiten als Reseller buchen und auf die Endkunden "verteilen"?
    Über Quotagrenzen hinweg ist die Nutzung nicht möglich. Sie können Ihren Kunden aber entsprechende Pakete verkaufen. Es geht hierbei um einzelne Contentseiten.

    Weitere Frage: in den FAQ heißt es, Datenbanken werden nicht gescannt. Demnach werden bei der FTP-Option auch nur die Inhalte auf Datei-Ebene zur Untersuchung in den USA übertragen und nicht der Inhalt der Datenbanken. Ist das richtig? Mit Blick auf EUDSGV etc. heißt das also, so lange personenbezogene und schutzwürdige Daten nur in der Datenbank vorliegen und nicht auf Dateiebene wäre diese Übertragung als unkritisch anzusehen. Richtig?
    Eine rechtliche Bewertung diesbezüglich was personenbezogene Daten jeweils sind und was nicht können wir leider nicht vornehmen. Das tut uns leid.

    Weitere Frage: es ist da immer nur von FTP die Rede. Bei einem System, das die Sicherheit erhöhen soll, würde ich erwarten, dass mindestens SFTP zum Einsatz kommt. Ist dem so? Sonst wäre die FTP-Option ja mehr Schwachstelle als Sicherheitsgewinn.
    Ich würde von SFTP ausgehen, weiß es aber nicht konkret. Frage deshalb noch einmal nach.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  7. #22
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.393

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    Wer also Kenntnis von den MySQL-Zugangsdaten erlangt, müsste sich dann ein Webhosting-Paket entweder bei DF oder sogar speziell auf dem betreffenden Webserver verschaffen.
    Oder den von Dir zur Verfügung gestellten FTP-Zugang nicht nur lesend nutzen...

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  8. #23
    Reseller
    Registriert seit
    19.05.2003
    Beiträge
    178

    AW: SiteLock ... ein wenig irretiert?

    Danke für die Antworten!

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Es werden alle Dateien in der Quota ab dem im FTP-Account eingerichteten Verzeichnis (z. B. /webseiten) untersucht. In meinem Account sind es beispielsweise etwa 35.000. Nur andere Quotas halten den Scan natürlich auf.
    Das widerspricht aber ja der Aussage in den FAQ, dass der FTP-Root identisch sein muss mit dem HTTP-Root. Verstehe ich da etwas falsch?

    Und was ist gemeint mit der "Anzahl scannbarer Seiten" (25 / 100 / 500)? Wenn damit URLs gemeint sind, sind diese Anzahlen für dynamische Websiten doch eher völlig unzureichend oder zumindest selbst im teuersten Paket eher knapp bemessen?

  9. #24
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.393

    AW: SiteLock ... ein wenig irretiert?

    Gelöscht.
    Geändert von Enigma (20.01.2018 um 18:52 Uhr)
    Two hours of trial and error can save ten minutes of manual reading.

  10. #25
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.996

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    Das widerspricht aber ja der Aussage in den FAQ, dass der FTP-Root identisch sein muss mit dem HTTP-Root. Verstehe ich da etwas falsch?
    Was widerspricht sich hier? Der FTP-Account wird automatisiert eingerichtet, da können Sie gar keine Einstellungen vornehmen.

    Und was ist gemeint mit der "Anzahl scannbarer Seiten" (25 / 100 / 500)? Wenn damit URLs gemeint sind, sind diese Anzahlen für dynamische Websiten doch eher völlig unzureichend oder zumindest selbst im teuersten Paket eher knapp bemessen?
    Den genauen Algorithmus erfrage ich noch einmal im Detail.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  11. #26
    Forenexperte Avatar von [headcrash]
    Registriert seit
    28.02.2006
    Beiträge
    2.496

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    Und was ist gemeint mit der "Anzahl scannbarer Seiten" (25 / 100 / 500)? Wenn damit URLs gemeint sind, sind diese Anzahlen für dynamische Websiten doch eher völlig unzureichend oder zumindest selbst im teuersten Paket eher knapp bemessen?
    Diese Werte betreffen den Frontendscan, nicht FTP.

    Rüdiger

  12. #27
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.996

    AW: SiteLock ... ein wenig irretiert?

    Zitat Zitat von tomnies Beitrag anzeigen
    Weitere Frage: es ist da immer nur von FTP die Rede. Bei einem System, das die Sicherheit erhöhen soll, würde ich erwarten, dass mindestens SFTP zum Einsatz kommt. Ist dem so? Sonst wäre die FTP-Option ja mehr Schwachstelle als Sicherheitsgewinn.
    Ich muss meine Aussagen bezüglich de rEinrichtung etwas höher korrigieren. Wir bieten auch den manuellen Modus für Einstellungen. Bei uns kann dabei sowohl FTP wie auch SFTP gewählt werden. Das kann man selbst entscheiden und bietet so alle Möglichkeiten auch für externe Seiten. Im Regelfall wird aber unsere Automatik genutzt und wir richten den SFTP-Account automatisiert ein ohne weitere Einstellungen durch Sie.
    Zitat Zitat von tomnies Beitrag anzeigen
    Das widerspricht aber ja der Aussage in den FAQ, dass der FTP-Root identisch sein muss mit dem HTTP-Root. Verstehe ich da etwas falsch?
    Vorhergehendes präzisiert meine bisherigen Aussagen dazu weiter. Bei den automatischen Einstellungen legen wir den FTP-Account auf die Pfadeinstellung der Domain, im manuellen Modus könnten Sie davon abweichen.
    Zitat Zitat von tomnies Beitrag anzeigen
    Und was ist gemeint mit der "Anzahl scannbarer Seiten" (25 / 100 / 500)? Wenn damit URLs gemeint sind, sind diese Anzahlen für dynamische Websiten doch eher völlig unzureichend oder zumindest selbst im teuersten Paket eher knapp bemessen?
    Welche Seiten hier wie genau ausgewählt werden, können auch wir nicht sagen, das behält der Dienstanbieter für sich als Unternehmensgeheimnis. Allerdings gehen wir davon aus, dass der Algorithmus ähnlich wie jeder rekursive Algorithmus aufgebaut ist. Ausgehend von der Startseite werden vermutlich Links auf dieselbe Domain ausgewertet und als nächste "Ebene" gescannt, sofern genügend Seiten zur Verfügung stehen. Wenn noch weitere Seiten gescannt werden können, werden die Links auf den zweiten Seiten gesammelt, um bereits gescannte bereinigt und entsprechend auch gescannt usw.

    Grundsätzlich bringen Hacker ihren Schadcode auf Seiten an, die möglichst viel Besucher abbekommen, was in vielen Fällen die Startseite sein dürfte. Dabei muss man jetzt berücksichtigen, dass es in dem Punktum den Scan "von außen", also per http, geht. Ab "Repair" kann der (S)FTP-Scan genutzt werden, der die Dateien "von innen" scannt - und da gilt diese Beschränkung nicht, wie auch mein Praxisbeispiel mit 50.000 Dateien zeigt. Die Kombination beider Methoden ist in unseren Augen das Interessante.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

Seite 2 von 2 ErsteErste 1 2

Ähnliche Themen

  1. Auflistung SQL-Abfrage fehlerhaft - ein Wert zu wenig
    Von ihoppe im Forum Scriptsprachen / SQL / Anwendungen
    Antworten: 3
    Letzter Beitrag: 17.11.2008, 07:11
  2. ein wenig OT: Rechnungen und Lieferscheine
    Von Buddy im Forum Scriptsprachen / SQL / Anwendungen
    Antworten: 3
    Letzter Beitrag: 15.09.2001, 18:58

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •