Zu Hauptinhalt springen
Studium Vorlesungen
FlexNow GRIPS Webmail
Fakultäten Fakultätsseite Katholische Theologie Fakultätsseite Rechtswissenschaft Fakultätsseite Wirtschaftswissenschaften Fakultätsseite Medizin Fakultätsseite Philosophie, Kunst-, Geschichts- und Gesellschaftswissenschaften Fakultätsseite Psychologie, Pädagogik und Sportwissenschaft Fakultätsseite Sprach-, Literatur- und Kulturwissenschaften Fakultätsseite Mathematik Fakultätsseite Physik Fakultätsseite Biologie und Vorklinische Medizin Fakultätsseite Chemie und Pharmazie
Aktuelles Alumni Bayhost Blog Chancengleichheit & Familie Deutschlandstipendium Einrichtungen Europaeum Forschung Internationales Klinikum Kultur & Freizeit Mensa Presse RUL Sport Sprachenzentrum Studierende aktiv Uni-Shop ZHW
Bibliothek Rechenzentrum Universität Verwaltung
Gewählte Sprache ist Deutsch Select language
Kontakt Impressum Datenschutz
Startseite UR

Sicherheit und Zugangsbeschraenkungen

Sicherheit und Datenschutz

Die Begriffe „Sicherheit“ und „Datenschutz“ werden oft verwechselt.
„Sicherheit“ bedeutet die Gewährleistung eines sicheren Betriebs der verschieden Server einschließlich des Schutzes der Daten auf den Servern gegen unbefugten Zugriff.
Unter „Datenschutz“ versteht man den gesetzlich geregegelten Schutz persönlicher Daten. Die einschlägigen Gesetze behandeln alle personenbezogenen Daten.
Ein weiterer wichtiger Bereich, der Webseiten betrifft, ist das Urheberrecht.


Sicherheit

Auf einem Web-Server gibt es Sicherheitsprobleme durch Benutzer-Programme:

1. falsch programmierte CGI-Programme, die den Betrieb oder die Daten des Web-Servers beeinträchtigen,
2. Webseiten (oder sogar Programme), die zwar vom berechtigten Webmaster stammen, aber unerwünschte Auswirkungen beim Client oder auf einem anderen Rechner haben.


Sicherheit in CGI-Skripten

CGI-Programme sind gefährlich! Jedes CGI-Skript muss sorgfältig auf Sicherheitslücken geprüft werden, bevor es eingesetzt wird.

Ein häufiger Fehler bei Progammen ist eine endlose Schleife. Obwohl sämtliche Skripten eine CPU-Zeitschranke haben, passiert es oft, dass der Benutzer (oder sogar der Programmierer, der sein eigenes Skript testet) glaubt, dass die lange Reaktionszeit vom Datennetz kommt und die Daten erneut abschickt. In solchen Fällen kann es passieren, dass das selbe Skript mehrmals auf dem Applikationsserver läuft, was natürlich den ganzen Rechner lahm legt! Also, Vorsicht beim Schreiben oder beim Testen von dynamischen Skripten ist geboten.


Schutz der eigenen Daten

Skripten enthalten oft Passwörter für andere Dienste (z.B. für eine MySQL-Datenbank) oder andere Informationen, die nicht allgemein zugänglich sein sollen. Dateien, die durch den Apache-Server lesbar sind, sind auch für alle Personen mit einem Unix-Account an der Uni lesbar. Eine genaue Kontrolle der Zugriffsrechte zu Dateien auf Unix-Rechnern kann durch "File Access Contol Lists" (FACLs) geregelt werden.


Beschränkter Zugang zu den Seiten

Man kann den Zugang zu den Seiten in einem bestimmten Verzeichnis auf eine bestimmte Menge Rechner beschränken. Hier ein Kochrezept, um Seiten nur von Rechnern am Uni-Datennetz aus zugänglich zu machen: Man erzeugt im entsprechenden Verzeichnis eine Datei mit dem Namen ".htaccess", die Folgendes enthält:

order deny,allow
deny from all
allow from 132.199

Eine etwas ausführlichere Beschreibung dieser Anweisungen sowie Beispiele für häufig verwendete Fälle sind im Dokument ".htaccess-Dateien" zu finden.


Authentifizierung mit NDS-Passwortprüfung

Für den Benutzer ist es einfacher, wenn er sich nur einen Namen und ein Passwort merken muss. Der NDS-Account mit Passwort ist der Schlüssel zu allen EDV-Diensten an der Universität Regensburg.

„Dem Benutzer ist es untersagt, Kennungen und Paßwörter weiterzugeben oder Informationen, die für andere Benutzer bestimmt sind, zur Kenntnis zu nehmen oder zu verwerten.“ (aus den Benutznutzungsrichtlinien der Uni Regensburg)

Diese Anordnung verbietet einem Webmaster, ein Formular ins WWW zu stellen, das einen Benutzer zur Eingabe seines NDS-Passworts auffordert, und verbietet auch dem Benutzer, sein Passwort in ein solches Formular einzugeben. Einzige Ausnahne ist ein Formular, das vom Rechenzentrum authorisiert ist (z.B über HTTPS mit einem vom RZ ausgestellten Zertifikat).

Das Rechenzentrum bietet deshalb eine NDS-Passwort-Verifizierung für Webmaster an. Alle Webmaster auf dem WWW- und auf dem CGI-Server können diese Leistung in Anspruch nehmen. Wie sie benutzt wird hängt vom Einsatzgebiet und vom Zielrechner ab:

HTML-Seiten und Dokumente zum Herunterladen (WWW- und CGI-Server)

Ein einfacher Passwortschutz, den jeder Webmaster auf dem WWW- oder CGI-Server ohne weiteren Antrag einsetzen kann. Siehe "Downloadbereich mit NDS-Authentifizierung"


Aktive Seiten, die in PHP geschrieben sind (WWW- und CGI-Server)

Diese Variante ist im nächsten Abschnitt beschrieben.


Eine Mischung aus PHP, HTML und/oder Download (WWW- und CGI-Server)

Wie man die beiden Anwendungsgebiete mischt, ist im Dokument "Downloadbereich mit NDS-Authentifizierung" beschrieben. Siehe auch "rzi_session.php3" und den nächsten Abschnitt.


NDS-Passwortgeschützte PHP-Skripten

Diese Leistung wurde in PHP implementiert und ist auf dem WWW- und dem CGI-Server im Einsatz. Da HTTP ein sog. stateless protocol (zustandsloses Protokoll) ist, wurde auch ein PHP-Session-Management implementiert:

  • Der Endbenutzer kann sich mit seiner NDS-Kennung und seinem NDS-Passwort identifizieren. Externe Benutzer mit eigenen Passwörtern sowie ein sog. "Gast" ohne Passwort werden ggf. berücksichtigt.
  • In Zusammenhang mit diesem Session-Management-System gibt es eine Benutzer-Datenbank mit Benutzer-Verwaltung. Benutzer können unterschiedlichen Arbeitsgruppen (Fakultät, Institut usw.) zugeordnet werden. Der jeweilige Webmaster (Skript-Progammierer) kann selbst entscheiden, welchen einzelnen Benutzern oder Arbeitsgruppen (z.B. alle Leute mit einem NDS-Account oder nur Rechenzentrumsmitglieder) Zugang gewährt wird.
  • Während einer Session können beliebige Daten über die Session und deren Ablauf gespeichert werden.

Um diese Leistung in Anspruch zu nehmen, soll eine eMail mit folgenden Informationen an das Webmaster-Team im RZ geschickt werden:

  • Unix-Account des Antragstellers,
  • Kürzel zur Identifizierung des Bereichs in Skripten (max 31 Zeichen),
  • Name des Bereichs (max. 63 Zeichen),
  • Zweck (Art und Zweck des Dienstes),
  • Kurzbeschreibung, die z.B. bei einer Zusammenfassung aller Bereiche verwendet (max 400 beliebige Zeichen) wird,
  • Langbeschreibung wird im Anmeldeformular angezeigt (max 800 beliebige Zeichen),
  • Liste der URLs, die für das SMS freigeschaltet werden sollen,.

Weiteres über diese Angaben steht in den "Notizen über Sessions". Die entsprechende PHP-Funktionen sind in der RZ-Bibliothek rzi_session.php3 enthalten.

RZ Webredaktion - 16.10.2012 16:30

  1. Universität