[klausing]

Bei Menschen welche eine Homepage mit aktiven Inhalten präsentieren möchten, wird PHP immer beliebter. Mir ging es ja genauso, nach dem ich meine erste einfache Homepage mit einfachen Texten und ein paar eigenen Bildern ins Netz gestellt hatte.
Im Netz gibt es immer mehr kostenlose Scripte welche auf Servern kostenlos installiert werden können. Dabei ist es egal ob es sich gleich um ein sogenanntes CMS handelt oder lediglich um ein Gästebuch, ein Fotoalbum oder ein eigenes Forum.
Leider kann es all zu schnell passieren, dass man damit Sicherheitslöcher öffnet welche man vorher hätte umgehen können. Aus eigener Erfahrung kann ich sagen, dass einen ein solch unbedarftes, uninformiertes Vorgehen unter Umständen teuer zu stehen kommen kann. Mir wäre es auch schon fast passiert. Nur mit einigen rechtlichen Mitteln bin ich damals da wieder da heraus gekommen.

Es wäre schön gewesen, wenn ich solche Artikel wie diesen Artikel bei heise vorher gekannt hätte.  Diesen Hinweis möchte ich hier gern weitergeben. Vielleicht hilft dieser Link ja dem einem oder anderem dabei gar nicht erst in eine solche Falle zu tappen.

[vreni]

Danke für die Info, ich will keine HP eröffnen, werde aber dies mal weitermailen.........

[Joerg Moeller]

Danke, das werde ich mir demnächst mal sehr genau durchlesen...

[MaKe]

Hallo Barbara,

viel Panik sollte man da nicht bekommen, aber eine gesunde Portion Menschenverstand und nen bissel kritisches Hinterfragen schadet sicherlich nie.

Normalerweise sollte dein Hoster (bei dem die Inhalte deiner Webpräsenz liegen) dafür Sorge tragen dass die Systeme ersteinmal sicher sind.
Wenn du nur noamle HTML-Inhalte verwendest, oder aber Scripte (in PHP, Pearl etc.) die dir vom Hoster bereitgestellt werden, trägt er für die Sicherheit auch die Verantwortung und du brauchst dich nicht zu sorgen.

Installierst du aber selber z.B. PHP-Scripte (z.B. ein Gästebuch) die du irgendwo im Netz gefunden hast, dann kann der Hoster dafür natürlich nicht mehr die alleinige Verantwortung übernehmen, da bist du dann mit in der Verantwortung.

Nur, wenn du in der Lage bist selber solche Scripte zu installieren, bist du sicherlich auch nicht mehr ganz so unbedarft und verstehst dann auch eher was in dem obrigen Dokument geschrieben wurde.

Probleme könne halt entstehen wenn Cracker durch Sicherheitslücken in den Scripten Zugriff auf deine Internet-Seiten bekommen, diese verändern können (z.B. mit rechtswiedrigem Material hinterlegen) oder sogar Zugriff auf den Server des Hosters bekommen (wobei ich hier dann aber auch wieder die Verantwortung des Hosters sehen würde). Zum Teil können solche Cracker auch deine Seiten und Deine Internetpräsenz dazu nutzen um Spam zu versenden, da es in PHP dazu auch einige Scripte gibt die nicht 100%tig gegen Manipulation geschützt sind.

Neben diesen fiesen Situationen in die man durch fremde Manipulationen kommen kann, gibt es aber gerade bei einer geschäftsmäßigen Webpräsenz auch noch einige rechtliche Sachen zu beachten.
Hier in Deutschland ist z.B. ein Impressum Pflicht welches auch noch Inhaltlich gewisse gesetzliche Vorgaben erfüllen muss.
Auch sollte man bei einem gewerblichen Auftritt doppelt aufpassen dass man sich keine fremden Inhalte zu eigen macht oder fremde Grafiken ect. verwendet (Stichwort: Copyright).
Eine Abmahnung kann dann ganz schnell erfolgen und es gibt ja leider Anwälte die Hauptberuflich von solchen Einnahmequellen leben.

[klausing]

welcher Art sind die Sicherheitslöcher? Und wie können die Konsequenzen aussehen?

OK, ich erzähl Dir mal was mir passiert ist.
Ich hatte ein Mailformular genutzt was ich irgendwo aus dem Netz gezogen hatte. Es war nicht von einer dieser anerkannten Seiten wie www.hotscripts.com Dieses Script ermöglichte es jemanden Dateien auf meinem Webspace abzulegen. Dadurch war es möglich diesen Server als SPAM-Schleuder zu benutzen.
Diesen Teil hatte ich ziemlich schnell wieder im Griff und die dafür verantwortlichen Dateien gelöscht. Man sollte eben immer mal auch in seine Logs schauen.  Schlimmer war aber, dass noch in einem anderen Verzeichnis eine Datei abgelegt wurde. Diese wurde benutzt um eine sogenannte DOS-Attacke auf das ServerCenter meines Webspacevermieters zu führen.
Das führte dazu, dass gut eine halbe Stunde lang kein einziger seiner Server von außen erreichbar war. Ihm sind dadurch natürlich auch einige Ausfälle und Kosten bis hin zu Ersatzansprüchen seiner Kunden entstanden.
Ich bin aus der Sache nur herausgekommen, weil ich ihm nachweisen konnte, dass einige seiner Einstellungen auch nicht dem Stand der Technik entsprachen und er diese DOS-Attacke hätte von vorn herein durch dem Stand der Technik entsprechenden Vorkehrungen hätte verhindern können. Natürlich musste ich das ganze rechtlich genau begründen, dass er da eine Verpflichtung dazu hatte. Seine AGB's haben mir dabei geholfen, da war nämlich eine Lücke.
Wäre mir das nicht gelungen, dann wäre ich auf einem 4stelligen Eurobetrag an Schaden sitzen geblieben. So hatte ich am Ende nur 30 Euro für die Sperrung meines Accounts zu zahlen.