Hallo,

ich bin gerade bei einer Anwendung, für die es seeeehr praktisch wäre einen eigenen kleinen Webserver (ICS HTTP) zu schreiben. Dieser soll nur auf einige Anfragen antworten - nix Besonderes. Jetzt die Frage: Ist sowas sicher? Wenn nein, wo genau liegen die Probleme? Ich gehe jetzt mal von dem Szenario aus: Server lauscht auf port XXXX und der Router leitet den werten Surfer auf diesen Port.

Besten Dank für eure Einschätzung ....

Wenn du die HTTP Anfragen in einen String liest (anstatt einen festen Puffer zu verwenden), dürften Buffer Overruns ausgeschlossen sein.
Ansonsten kann nichts passieren.
Der Server beantwortet die Anfragen ja direkt; er wird wohl nicht die URL in einen Dateinamen wandeln und versuchen diese Datei zu senden (wie das ein "normaler Webserver" tut).

Hi,
also er soll natürlich ein paar Antwortseiten rausgeben und einige Abfragen an eine Datenbank stellen (welche natürlich entsprechend gefiltert werden müssen!).

Viele Grüße ...

Eigentlich nur DU

Wenn du was machst was ein Sicherheitsproblem sein kann.

Hi,

Das würde ich so pauschal nicht unterschreiben. Als Abwandlung des C++ Satzes: Mit Delphi ist es zwar schwieriger sich in den Fuß zu schießen, möglich ist es aber dennoch. Ein bekannteres Beispiel war der Buffer Overflow in Skype mit D7 (US-CERT https://www.kb.cert.org/vuls/id/930345, http://www.skype.com/security/skype-sb-2005-02.html, ausgelöst durch http://qc.embarcadero.com/wc/qcmain....in.aspx?d=4744).

So lange ich selbst nicht jede Zeile der VCL, RTL und aller genutzen Komponenten selbst geprüft habe und die Prüfung auch nicht alles verfügbare Wissen einbezog, kann ich eine solche Aussage nicht treffen. Mir wäre das zu weit gerudert, das würde ich mir nicht zutrauen (auch zeitlich)

Vereinfacht gesagt ist aber prinzipiell gerade o.g. Verwendung von Strings im Vergleich zu anderen Sprachen einfacher und sicherer.

Delphi Anwendungen zu unvorhersagbarem Verhalten zu bringen, gerade bei vorliegen von bekannten Komponentenversionen (und Kenntnis derer Schwächen) ist aber sicherlich möglich. Delphi ist keine Insel.

Zum Thread: Du kannst nur gewissenhaft programmieren - auf alles andere hast Du erstmal keinen Einfluss. Sobald Du Fehlverhalten feststellst oder sogar eine Lücke bekannt wird, wird reagiert. Das ist der (leider) übliche Weg, alles andere wäre zu viel Aufwand und unwirtschaftlich.

Gruß Assertor