linux-l: Offene Ports
Steffen Dettmer
steffen at dett.de
Mo Sep 4 22:29:13 CEST 2000
* Jan-Benedict Glaw wrote on Mon, Sep 04, 2000 at 18:46 +0200:
> On Mon, Sep 04, 2000 at 10:46:18AM +0200, Steffen Dettmer wrote:
> > * Jan-Benedict Glaw wrote on Sat, Sep 02, 2000 at 20:40 +0200:
> > [133 auth]
> > > Ist ein SIcherheitsrisiko. Dichtmachen!
> >
> > Kannst das bitte mal näher erklären?
>
> In Kurzform (einFTP-Beispiel...):
>
> Rechner A (FTP-Client) connectet zu Rechner B, auf dem ein FTP-Server
> werkelt. Rechner A nimmt dabei den Source-Port 12345. Der FTP-Server
> kann nun über AUTH anfragen, welche UID das Programm auf Rechner A
> hat, das dort den lokalen Port 12345 belegt.
Genau: welcher User hat da ne connection zu mir.
> ...und das will man ja nun vielleicht gerade nicht;)
warum?
> Natürlich kann man dadurch dann auch nachfragen, unter welcher UID
> denn der Mailserver, der FTP-Server, der POP3 oder IMAP-Server...
Sicher? Muß die connection nicht zur selben Maschine sein, d.h.
bist Du sicher, daß man auch ports fragen kann, von denen keine
connection zum fragenden Host geht?
> Siehst Du? Willst'e nicht...
Nee?! Weil viele username == passwort haben oder wie :) ??
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l