AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi openSSL+ Indy - gibt es Sicherheitsbedenken?
Thema durchsuchen
Ansicht
Themen-Optionen

openSSL+ Indy - gibt es Sicherheitsbedenken?

Ein Thema von Gruber_Hans_12345 · begonnen am 2. Feb 2021 · letzter Beitrag vom 4. Feb 2021
Antwort Antwort
Gruber_Hans_12345

Registriert seit: 14. Aug 2004
1.441 Beiträge
 
Delphi 2007 Professional
 
#1

openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 2. Feb 2021, 07:29
Hallo, ich verwende OpenSLL + Indy, bzw OpenSSL + eigenen Webserver.

Die Frage die sich mir nun stellt, gibt es wo Infos wie sicher das ganze nun ist?
Was kann ein Hacker mit den OpenSSL Dll's machen wenn er da irgendwelche Löcher findet?

Mir geht es nur darum das ich einem Kunden sicherstellen muss, das niemand durch diesen Port, in das System kommt.
Wenn der HAcker die EXE abstürzen lässt oder so, das wäre mir "egal", wichtig ist, das er nichts auf das System installieren kann, oder andere Files löschen/verschlüsseln usw kann.
Gruss Hans

2B or not 2B, that is FF
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.874 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 2. Feb 2021, 07:36
Kommt auf die Lücke an und auf die Rechte der Anwendung.
Wenn der Angreifer Deine Anwendung übernimmt, hat er die Rechte, die man der Anwendung gibt. Was Deine Anwendung nicht darf, kann dann der Angreifer (direkt) auch nicht Nutzen. Das könnte er nur, wenn er die Lücke nutzen kann um über andere Lücken ( in System-Bestandteilen wie Dlls, Dienste usw.) höhere Rechte zu erlangen.
Markus Kinzler
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.166 Beiträge
 
Delphi 12 Athens
 
#3

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 2. Feb 2021, 09:39
Ist denn auch gesichert das es keinen Man-In-the-Middle Angriff geben kann,
über das Netz und DNS-Abfrage, z.B. ?
OpenSSL ist ja nur EIN Teil des des ganzen Sicherheits-Konzepts.
  Mit Zitat antworten Zitat
tggmx

Registriert seit: 29. Okt 2006
34 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 09:42
Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.
  Mit Zitat antworten Zitat
Bbommel

Registriert seit: 27. Jun 2007
Ort: Köln
668 Beiträge
 
Delphi 12 Athens
 
#5

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 10:27
Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.
Cool, Danke für den Tipp. Das kannte ich noch nicht und habe dadurch gemerkt, dass mein Server noch TLS 1.0/1.1 zulässt, was ja mittlerweile eigentlich eher "bäh" ist. Hab mich dann mal direkt darum gekümmert.

Zur eigentlichen Frage: mir war das mit Indy/OpenSSL etwas zu nervig. Du musst immer im Blick haben, wenn eine neue OpenSSL-Version rauskommt und müsstest dann deine Server manuell aktualisieren. Außerdem ist das reguläre Indy-Release noch immer nicht kompatibel mit neuen OpenSSL-Versionen (auch wenn es Leute gibt, die sich dankenswerterweise darum kümmern). Ich habe mich daher dazu entschieden, einen IIS (unter Windows) bzw. einen Apache (unter Linux) als Reverse-Proxy vor meinen Delphi-Webserver zu hängen. Das heißt, die ganze Kommunikation und damit auch die Verschlüsselung nach außen läuft über IIS/Apache und die werden durch automatische Update aktualisiert, falls es mal Probleme gibt. Der Delphi-Webserver ist direkt von außen nicht erreichbar. Ich habe da zwar der Vollständigkeit halber auch https-Support mit Indy eingebaut, nutze den aber produktiv nicht.
  Mit Zitat antworten Zitat
Gruber_Hans_12345

Registriert seit: 14. Aug 2004
1.441 Beiträge
 
Delphi 2007 Professional
 
#6

AW: openSSL+ Indy - gibt es Sicherheitsbedenken?

  Alt 3. Feb 2021, 11:02
Ok danke mal für die ganzen Tipps, werde mir das mit dem SSL Server Test mal anschauen, und die Reverse Proxy klingt auch gut.

Beim Reverse Proxy wird man den Windows IIS nehmen müssen vermute ich? Weil nginx und co auf windows ja nicht wirklich gut sein sollten.
Gruss Hans

2B or not 2B, that is FF
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz