spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Zitat von »Azasel«

Aber so wie ich die Informationen hier aufgenommen habe, lasse ich besser erst mal keinen Webserver auf meinem Rechner laufen.

Einen Server laufen lassen ist ja gar kein Problem, nur das port forwarding macht es gefährlich. Einen Server lokal zum Entwickeln zu nutzen ist normal.

Generell kann man sagen, wenn du etwas aus dem Internet erreichbar machst solltest du wissen was du tust und eher weniger experimentieren. Besonders wenn es sich hierbei um deinen Produktivrechner handelt.

Eine VM/Container hilft dein System zu schützen, löst aber das Problem nicht wirklich. Grundsätzlich stellt auch nur der Service an diesem Port die Gefahr dar. Wenn du nur eine statisch Seite ausliefern ist das auch soweit ungefährlich, solange alles up to date ist.

Aber solltest du z.B. einen Fehler machen könnte jemand die Möglichkeit eine Datei (z.B. deine Highscore datei) auf dein System zu schreiben dazu missbrauchen auch andere Daten auf dein System zu schreiben. Nehmen wir mal an, man kann den dateipfad mitsenden an den die Datei geschrieben wird, dann ist es möglich, da der server auf port 80 hört (ein privilegierter Port, mit root Rechten), dir ausführbare Dateien ins system zu kopieren, die root Rechte besitzen. Derjenige muss nur die Funktion in deiner Webseite mit eigenen daten aufrufen. Ohne port forwarding könnte dich lediglich dein Bruder (oder so) im gleichen Netzwerk ärgern, hört dein Server nur auf dem loopback device dann nichteinmal das. Du selbst kannst den Server aber zum Testen weiter im Browser über z.B. localhost erreichen

Zitat von »Azasel«

Zitat von »David Scherfgen«

und dein Spiel auf dem Server frei von Sicherheitslücken hältst

Kannst du mir dafür bitte ein Beispiel nennen, denn ich kann mir nicht im geringsten Vorstellen, wie das gehen soll, oder entsteht das Problem erst, wenn ich PHP mit einbinde? Dann erklärt sich das.

Das Problem ist, dass es unglaublich viele Angriffsszenarien gibt. In der Regel geht es immer darum deinen Server dazu bringen Code auszuführen der von Außen kommt. Es könnte z.B. jemand versuchen (PHP)-Code als Highscore zu schicken, damit dieser in der Highscore-Datei landet. Ruft er dann die Highscore-Datei auf und der Webserver ist so konfiguriert das er den Code ausführt (normalerweise ist das nach Dateiendung geregelt), kann er auf deinem System im Prinzip alles machen was der Webserver Benutzer darf.

Zitat von »Azasel«

Zitat von »David Scherfgen«

Und von dort aus könnte theoretisch auch dein PC bzw. alle anderen Geräte im lokalen Netzwerk gehackt werden.

Kann das auch passieren, wenn ich den Webserver auf einer VM laufen lasse?

Eine VM bietet erstmal nur eine Absicherung des Host. Ob über den Host oder die VM andere Geräte in deinem Netz angegriffen werden ist ziemlich egal. Das Netz absichern kannst du nur wenn du die Netze trennst und der Server/VM nicht auf dein lokales Netz kommt, sondern nur nach Außen kommuniziert.

Zitat von »Azasel«

Aber so wie ich die Informationen hier aufgenommen habe, lasse ich besser erst mal keinen Webserver auf meinem Rechner laufen.

Man muss bei sowas immer etwas abwägen. Auch wenn sämtliche Hackszenarien möglich sind, steckt hinter vielen einiges an Aufwand, so dass es eher unwahrscheinlich ist das es passiert. Wenn man dazu mit einfachen Mitteln den möglichen Schaden eingrenzen kann, ist das Risiko durchaus hinzunehmen.

Zitat von »Azasel«

Wenn ich mir eine Lektüre über PHP (oder nodejs) besorge, wird dann auf das alles eingegangen?
Ich möchte nämlich bald loslegen (Mit einem Webserver) und brauche dazu noch eine Menge Stoff, was die Funktionsweise und die Sicherheit angeht.

Es gibt eigene Bücher über Administration und Sicherheit in verschiedenen Bereichen (Virtualisierung, Netzwerk, ...). Das ist eher separat von der Softwareentwicklung. Viele Bücher werden zwar das Thema Sicherheit erwähnen, aber aus Sicht eines Softwareentwicklers ist das immer noch mal etwas Anderes.

Zitat von »Azasel«

Ich stelle mir das ganze so vor, dass ich eine .txt Datei auf meinem Server liegen habe und der Apache Server die Daten aus der Textdatei einliest und in die HTML Datei einbindet.

Das geht, klar. Allerdings ist die Nutzung einer Datenbank auch nicht komplizierter als eine Datei zu lesen. Vielleicht sogar einfacher, weil du dich nicht mit Datei-Parsing rum ärgern musst, wenn du eine Datenbank nimmst.

Die größte Gefahr geht von Sicherheitslücken in “Standard-Software“ aus, würde ich mal schätzen. Da gibt es Bots, die quasi ständig das Internet abgrasen und auf bekannte Schwachstellen testen. Wenn ich mir meine Server-Logs anschaue, dann sehe ich ständig solche Requests, die beispielsweise testen, ob die Seite WordPress nutzt und ob irgendein Plug-in aktiviert ist, das eine bekannte Sicherheitslücke hat.
Wenn in deiner selbstgeschriebenen Software eine Sicherheitslücke ist, dann ist es unwahrscheinlich, dass sie automatisch aufgespürt und ausgenutzt wird. Da müsste schon jemand gezielt angreifen.
Das soll natürlich nicht heißen, dass du schlampig arbeiten darfst!

Und as heißt auch nicht, dass selbst-geschriebene Software generell sicherer und daher immer zu empfehlen ist.

Zitat von »LetsGo«

Ich würde auch erstmal anfangen etwas zu entwickeln, bevor ich mir groß um Sicherheit Gedanken mache, außer du hast wichtige Daten auf dem Rechner.

Dieser Ratschlag ist fahrlässig.
Eigentlich hat jeder wichtige Daten auf seinem Rechner, z. B. gespeicherte Passwörter oder Login-Cookies für diverse Accounts.

Zitat von »Azasel«

Meine IP von gestern ist heute immer noch die selbe, dachte die wechselt jede 24 Stunden um 0 Uhr?

Das hängt vor allem von deiner Anschluss-Anbieter ab, wann er sich dazu entschließt dir eine neue IP zuzuweisen. Da gibt es aber so ein Tool/Plattform namens No-IP, damit kannst du dieses Thema umgehen: No-IP. Das ist ein Anbieter von dynamischem DNS der eine IP-Adresse anbietet, die intern dann auf deine aktuelle IP-Adresse umgeleitet wird.

Das ist vielleicht was für dich, ist glaube auch kostenlos (bin mir nicht mehr ganz so sicher). Gibt da aber auch andere Anbieter, die das vielleicht "besser" oder im Produktiv-Betrieb billiger können.

Aber selbst wenn man keine wichtigen Daten auf dem Server hat, ist es ratsam, sich um Sicherheit Gedanken zu machen. Sonst wird der nicht abgesicherte Server nämlich schnell Teil eines Bot-Nets und unterstützt Kriminelle bei ihren DDoS-Angriffen. Das habe ich selbst schon bei einem Labor-Server erlebt, für den sich niemand so richtig verantwortlich fühlte. Erst der System-Admin hat uns darauf aufmerksam gemacht, dass von dem Server enorme Datenmengen verschickt werden.