Tanneks site of Life

'baun, schrauben, wiegen und schmieden Platinen, Kabelsalat, programmieren Maschinen..

mod_security und seine folgen

ModSecurity is an open source web application firewall.
So stehts auf modsecurity.org. Was dieses Tool aber wirklich macht grenzt schon an das, was ich fuer Datenschutz halte.
Als mein Webhoster mir vor einigen Tagen mailte, dass er gezwungen wurde mod_security zu installieren dacht ich noch, dass dies nur meine Sicherheit erhoeht. Doch nachdem ich letztens ueber w get bloggen wollte, musste ich mit entsetzen feststellen, dass es nicht moeglich ist. Probiert dochmal selbst w-g-e-t (ohne Bindestriche) hier einzugeben.

Durch einen Tipp eines Studienkollegen bin ich erst darauf gekommen, dass dies durch mod_security verursacht wird. Zwei Mate und vielen google anfragen spaeter, war mir das Ausmass des Eingriffes in die Privatsphaere durch mod_security erschreckend bewusster als jemals zuvor. Da dieses tolle Tool den gesammten Netzwerktraffic des Servers durch seine Filterregeln jagt, kann man als Serveradmin ohne sich grosse Umstaende machen zu muessen z.b.:

  • Traffic reduzieren durch blockieren von zuviel Traffic-ziehenden IPs

  • Keiner bloggt ueber xxxx (Bush/genpeds/konkurenz-Webhoster)

  • Leuten aus xxxxxxland keinen/eingeschraenkten Zugang gewaehren

  • passwort und email - Kombinationen finden (wer benutzt schon mehrere pws? ;)

  • Nach Kreditkartennummern suchen


Und das alles, obwohl SSL aktiviert ist; obwohl die pws/kreditkartennummern in der sql-datenbank verschluesselt sind; ohne das er in jedem Kundenverzeichnis rumwuehlen muss.

Bespiele, was alles geblockt wird:(mit den muster-configs)

  • GoogleBot!!??

  • RSS-Reader die sich nicht als IE/Firefox tarnen

  • WebDAV

  • WebFTP / Weboberflaeche mit einer Art Dateibrowser

  • sogut wie jegliche Form von web-html-editoren / Formfelder mit html-input

  • install-scripts die viele POST/GET-parameter haben



Fazit:
Die Welt ist ungerecht.
Was aber als ein Tag taegliches Problem bleibt, ist das blockieren von bestimmten Woertern (die ich nicht alle kenne). w-g-e-t ist sicherlich nicht das einzige.

Edit 01.10.08:
Ich habe mit dem Webhoster einen Kompromiss gefunden, mit dem wir beide Leben koennen. So dass ich jetzt wget sooft wgetten kann, das weder das wget noch das wget geblockt wird : )

Trackbacks

Trackback-URL für diesen EintragTrackback URL

Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA