Hallo,
ich betreibe einen WAPT-Server, der aktuell auf Client-Rechnern installiert wird. Ich hätte dazu folgende Fragen:
– Könnte jemand, der einen zweiten WAPT-Server einrichtet, die Pakete (Serverdaten usw.) abfangen?
– Gibt es eine Möglichkeit, WAPT-Pakete (im Python-Code) zu sichern?
Vielen Dank im Voraus für Ihre Antworten. Weiter so!
Mit freundlichen Grüßen
[GELÖST] Sicherheit
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
dcardon
- WAPT-Experte
- Nachrichten: 1954
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Smarty,
Selbst mit einem selbstsignierten Zertifikat kann ein Angreifer jedoch kein Schadprogramm installieren, da die Pakete selbst signiert sind. Abschließend sei noch erwähnt, dass es eine ausführliche Dokumentation gibt (siehe unten). Sollten Sie eine konkrete Frage haben, lesen Sie diese bitte und teilen Sie uns mit, wo Unklarheiten bestehen.
https://www.wapt.fr/fr/doc/PrincipesSec ...ciple.html
Zur Information: Version 1.5.0.13 hat die CSPN-Zertifizierung von ANSSI erhalten [1]. Dies kann zwar nicht garantieren, dass keine Sicherheitslücken vorhanden sind, bedeutet aber dennoch, dass die Software geprüft und gründlich untersucht wurde.
Aufrichtig,
Denis
[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Die Datenströme sind standardmäßig über HTTPS verschlüsselt. Wenn Sie ein gültiges SSL-Zertifikat konfiguriert haben, ist die Verbindung genauso sicher wie Ihre HTTPS-Verbindung zu jeder beliebigen HTTPS-Website (und kann fixiert werden). Mit einem selbstsignierten HTTPS-Zertifikat sind – genau wie bei jeder HTTPS-Verbindung – Man-in-the-Middle-Angriffe möglich. Mit einem gefälschten (nicht fixierten) Zertifikat können die Kommunikationsvorgänge daher eingesehen werden.
Selbst mit einem selbstsignierten Zertifikat kann ein Angreifer jedoch kein Schadprogramm installieren, da die Pakete selbst signiert sind. Abschließend sei noch erwähnt, dass es eine ausführliche Dokumentation gibt (siehe unten). Sollten Sie eine konkrete Frage haben, lesen Sie diese bitte und teilen Sie uns mit, wo Unklarheiten bestehen.
Die Sicherheitsprinzipien von WAPT werden in der Dokumentation ausführlich beschrieben:
https://www.wapt.fr/fr/doc/PrincipesSec ...ciple.html
Zur Information: Version 1.5.0.13 hat die CSPN-Zertifizierung von ANSSI erhalten [1]. Dies kann zwar nicht garantieren, dass keine Sicherheitslücken vorhanden sind, bedeutet aber dennoch, dass die Software geprüft und gründlich untersucht wurde.
Aufrichtig,
Denis
[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Sie ist sehr ausführlich.-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Genau genommen sind die Inhalte eines WAPT-Pakets nicht vertraulich.
Jeder kann sie lesen.
Um die Inhalte eines WAPT-Pakets zu schützen, können Sie die sensiblen Daten mit dem öffentlichen Zertifikat jedes Rechners verschlüsseln.
Beispiel:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
Jeder kann sie lesen.
Um die Inhalte eines WAPT-Pakets zu schützen, können Sie die sensiblen Daten mit dem öffentlichen Zertifikat jedes Rechners verschlüsseln.
Beispiel:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
