Diskussion:Internet Server API
Zitat aus dem Artikel:
"Im Gegensatz zu Skript-Dateien sind ISAPI-Erweiterungen nicht lesbar, das heißt, ein Benutzer oder Hacker, der es schafft, direkt auf die Dateien am Webserver zuzugreifen und somit Passwörter und Benutzernamen ausfindig machen kann (übliche Attacke bei Linux-Systemen), kann einer ISAPI-Erweiterung keine sinnvollen Daten entnehmen."
Ich kenne mich mit ISAPI nicht aus, aber wenn es sich wie beschrieben um DLL Dateien handelt, kann man sehr wohl per Reverse Compiling oder Debugging im Stepmodus herausfinden, was die DLL allgemein macht und im besonderen, wo sie ihre Passwörter herbekommt. Ich finde es fast schon fahrlässig, das als Sicherheitsfeature darzustellen. -- 89.59.178.41 15:37, 29. Okt. 2008 (CET)
- Berechtigte Kritik. Ich habe das entschaerft: "Im Gegensatz zu Skript-Dateien sind ISAPI-Erweiterungen nicht in Klartext lesbar, was einen Angriff erschwert."
- Hier werden zudem ISAPI-Filter und ISAPI-Extensionen nicht deutlich genug unterschieden. Ich schaue da bei Gelegenheit noch einmal 'drueber. Traute Meyer 00:38, 1. Nov. 2008 (CET)
- "Im Gegensatz zu Skript-Dateien sind ISAPI-Erweiterungen nicht in Klartext lesbar, was einen Angriff erschwert." Das halte ich für eine grob fahrlässige Aussage, nur weil etwas kompiliert ist, ist es nicht per Definition sicherer. Es erlaubt viel mehr die zusätzliche Möglichkeit des Exploitings, außerdem können über debugging alle relevanten Schritten innerhalb einer DLL gelesen werden. Kompilieren ist ungleich verschlüsseln. Qualität mangelhaft.-- 212.18.11.203 14:52, 28. Mär. 2011 (CEST)
Einleitung
[Quelltext bearbeiten]Voellig unverstaenlich fuer Leser ohne Vorkenntnisse ist der Satz "Für den Apache gibt es das mod_isapi..." ohne Erläuterung in der Einleitung (was ist mod_isapi?). Ich wuerde den Satz loeschen wollen wenn es keine Ergaenzung oder Einwaende gibt. Traute Meyer 21:28, 14. Nov. 2008 (CET)
- Ist entfernt. Traute Meyer 21:27, 6. Dez. 2008 (CET)
Nachteile aufzeigen
[Quelltext bearbeiten]Es fehlt der Hinweis, daß .dll Dateien unkontrolliert vom Anwender ausgeführt werden. Bei unbekannten, dynamisch über den Browser geladenen steigt das Sicherheitsrisiko drastisch. Ebay versucht die ebayISAPI.dll zum Ende einer Session auf den Rechner zu laden. "Ein Schelm, der Gutes dabei denkt....."-- Docjschulz 00:29, 24. Jan. 2010 (CET)
Das ergibt technisch keinen Sinn. Was hat ein Download mit ISAPI zu tun? Die ISAPI Extensions und Filter werden auf dem Server ausgeführt. Das bei vielen Webservern - auch eBay - die DLL teil der URL ist, ist unerheblich. Lediglich fehlerhafte Content-Transfer-Types führen dazu, dass der Client Browser denkt, es solle eine Datei namens XYZ.dll übertragen werden. Eine Interaktion Client Browser und seiner DLLs (Prozessraum und Libraries) mit dem IIS und ISAPI ist da doch garnicht vorgesehen. Ich würde mich näher an der englischen Fassung des Artikels orientieren und dieses Halbwissen streichen. Siehe http://msdn.microsoft.com/en-us/library/ms525172.aspx. (nicht signierter Beitrag von 213.209.91.132 (Diskussion | Beiträge) 21:58, 1. Mär. 2010 (CET))
- Ich habe diesen Satz erst einmal raus genommen. Der widerspricht meinem Wissen über Browserverhalten. Dieser sollte nur (HT|X)ML interpretieren und JavaScript ausführen. Docjschulz, Du möchtest sagen, dass Binärcode vom Server auf den Browser übertragen wird? Verstehe ich das richtig? Bitte gib ein Beispiel einer vom Browser heruntergeladenen und ausgeführten ISAPI DLL. Wie zweihundertdreizehn zweihundertneun einundneunzig einhundertzweiunddreißig bereits schrieb, bedeutet ein *.dll in der Adressleiste Deines Browsers nicht, dass die DLL heruntergeladen würde. Klicke doch einmal so eine Seite mit der rechten Maustaste an und wähle "Quelltext anzeigen". Kein Binärcode, sondern ausschließlich HTML+CSS+JS+XML+JSON+Bilder+SWF, richtig? Es wäre auch sicherheitstechnisch höchst bedenklich wenn beliebige Websites beliebigen Code auf den besuchenden Rechnern ausführen könnten. Und was passiert auf dem iPhone oder dem Mac oder unter Linux? Dort können diese Seiten dann gar nicht ausgeführt werden? -- RE rillke fragen? 12:03, 1. Dez. 2014 (CET)
Nachteile
[Quelltext bearbeiten]Ich bin sicher kein Microsoft-Fachmann, aber selbst als völlig fachunkundiger Leser fällt auf: WO sind die Nachteile?? Es gibt in der bekannten Welt und schon gar IT-Welt, keine Systeme, Techniken oder Ansätze ohne Nachteile.
Ich halte das für einen generellen und erheblichen Qualitätsmangel der Seite! (nicht signierter Beitrag von 83.218.36.218 (Diskussion) 18:22, 25. Sep. 2019 (CEST))