FrontPage Tips und Sicherheitsrisiken

General

Internet

Hobby

Eigentlich sollte diese Seite nur Tips im Umgang mit FrontPage enthalten. Da ich unter anderem auch FrontPage Schulungen abhalte, komme ich immer wieder in die Verlegenheit, in fremden Umgebungen FrontPage zu installieren. Dabei habe ich schon die tollsten Überraschungen erlebt. Deshalb diese Seite, damit ihnen so etwas erspart bleibt. Beschäftigt man sich mit FrontPage eingehend, so stolpert man schnell über das Thema Sicherheit. Denn die FrontPage Server Erweiterungen (FPSE) erweisen sich als großes Sicherheitsrisiko.

FrontPage von MS

Der Web-Editor FrontPage von Microsoft gehört in die Kategorie WYSIWYG-Editor. Die Version FrontPage 1.0 wurde 1995 von der Firma Vermeer Technology herausgebracht. 1996 wurde diese Firma und das Produkt von Microsoft aufgekauft. Als Version FP 1.1 kam der erste Microsoft Release 1996 heraus. Dann folgte FP 97, FP 98, FP 2000 und aktuell FP 2002.

Leider wird gerne verschwiegen oder nicht deutlich darauf hingewiesen, daß die meisten Goodies von FP nur funktionieren, wenn ein Webserver mit FrontPage Server Erweiterungen/Extensions am anderen Ende installiert ist. Da die meisten Webhost-Provider Linux/Apache Konfigurationen haben, bieten diese auf Druck ihrer Kunden dann entweder Linux/Apache Web-Server mit FP Server Extensions (Achtung: Es gibt verschiedene Versionen mit unterschiedlichen Funktionalitäten) an oder sie haben spezielle Tarife, die mit MS IIS-Server betrieben werden.

Vorsicht! Apache Web-Server mit FP-Extensions unterstützen, je nach Version, nicht alle Funktionen und unterstützen kein ASP. Damit entfällt z.B,. auch die einfache Einbindung von ODBC-Datenbanken. Klartext: Wer alle Funktionen von FrontPage nutzen will, braucht unbedingt einen Microsoft Webserver beim Provider. Daß ist durchaus im Sinne von Microsoft, aber nicht unbedingt im Sinne des Kunden.

Was sind die FrontPageServerErweiterungen?

Die FPSE sind eine funktionale Erweiterung für Webserver und nutzen unter Unix/Linux die vorhandene CGI-Schnittstelle oder unter NT/Win2000 die ISAPI Schnittstelle des jeweiligen Webservers. Die Kommunikation zwischen FrontPage Client und den FPSE wird über sogenannte RemoteProcedureCalls realisiert. Die RPC sind in den Http-Datenstrom als POST Informationen eingebettet und betreten daher das System über den Port 80. Das bedeutet, daß diese RPC ohne Kontrolle durch einen Firewall gehen!! Letztlich bestehen die FPSE aus drei Programmen, die die RPC Befehle entgegen nehmen und ausführen.

Hier beginnen die Sicherheitsprobleme. Diese drei Programme sind mit Rechten ausgestattet, die es z.B. erlauben, Dateien zu Schreiben. Damit wird das Rechte - und Authorisierungsproblem auf das Betriebsystem des Webservers abgewältzt. Das ist der Hauptgrund, warum ein Webserver, auf den ein öffentlicher Zugriff gestattet ist, kein FAT Dateisystem haben darf. NTFS ist eine Mindestvoraussetzung!!

Die verschiedenen Personal Web Server von Microsoft

Der FrontPage Personal Web Server ist ein direkter Nachkomme des NCSA 1.3 Web Servers (Urahn aller Web Server). Er unterstützt CGI und FP Server Extensions und kann nur Http als Protokoll. Er ist begrenzt konfigurierbar durch eine Textdatei im Verzeichnis conf.

Der Microsoft Personal Web Server unterstützt Http und Ftp. Weiter wird unterstützt: CGI, ISAPI, ASP und IDC (Internet Database Connector). Dieser Web-Server befindet sich unter anderem auf der FP98 CD und wird auf Nachfrage installiert. Wird die Nachfrage mit Nein beantwortet, wird automatisch der FP PWS installiert. Der Grund ist, FP98 braucht unbedingt einen Webserver, der FP-Server Extension installiert hat.

Der MS PWS 4.0 befindet sich zum Beispiel auf den Win98 Installations-CD´s oder auf dem NT Option Pack. Leider hat dieser Webserver kein FTP mehr und es kann auch nicht mehr von anderen Stationen auf diesen Webserver geschrieben (wenn ein FAT-Filesystem vorhanden ist, bei NTFS wird FTP aktiviert!) werden. Weitere Details, leider in Englisch, findet man hier. Alle PWS Versionen eignen sich nicht für den Produktionsbetrieb, sondern nur zum Entwickeln, Testen oder für sehr kleine Intranet-Umgebungen. Das Sicherheitsrisiko ist hoch und die Leistungsfähigkeit ist sehr gering.

Der PersonalWebServer 5.0 kommt mit der Win2000 Workstation Installation. Noch keine Details vorhanden.

Eine Stolperfalle ist während des Updates die Möglichkeit, daß sich die ODBC Installation  zerschießt. Der Grund ist folgender: Während der WWW-Service läuft, greift er auf eine bestimmte ODBC-Datei zu. Die wird dann beim Updaten von ODBC nicht ausgetauscht. Danach kann die Fehlermeldung kommen: ODBC Dateien und ODBC Verwaltung haben eine unterschiedliche Version. Daraus sollte man lernen, daß vor einem ODBC Update der Webserver gestoppt werden muß. Das ODBC Upgrade passiert manchmal unmerklich durch das Aufspielen anderer Pakete wie z.B. Office oder ASP (ASP befindet sich auf der FP98 CD). Ein IIS 3.0 kann von Haus aus kein ASP.

FP Server Extensions für PWS 4.0 installieren

Wenn auf einem System mit Win9X oder auf einer WinNT4.0-Workstation der Personal Web Server 4.0 und Frontpage 2000 installiert wird, kann es passieren, daß die Front Page Server Extensions nicht "da" sind. Abhilfe schafft folgendes:
Starten Sie das Programm Fpmmc.msc, daß sich im Ordner \Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40\bin befindet. Nach dem Start der Management Konsole klicken Sie: Konsole -> Snap-In hinzufügen. Klicken Sie auf: Hinzufügen. Im Fenster Eigenständiges Snap-In hinzufügen auf Front Page Server Extensions anwählen und Hinzufügen klicken. Schließen.
Jetzt im Konsol Baum (linkes Fenster) auf den Web Server klicken, auf dem sie die FP Server Extensions installieren wollen. Mit der rechten Maustaste auf den Server, den Punkt Neu wählen. Dann den nachfolgenden Instruktionen folgen.

Wie kann es überhaupt soweit kommen? Zum Beispiel, bei der NT-Workstation mit FAT-Dateisystem, endet die FrontPage Installation mit der Hinweis, daß das FAT-System nicht sicher ist und jeder auf den Webserver schreiben kann. Klickt man nun "FP-Ext nicht installieren", hat man genau den Zustand, wie oben beschreiben.

Die IIS Webserver von Microsoft

Der IIS 1.0 gehörte zum Lieferumfang bei NT 3.51. Bei mir fängt die Versionszählerei daher unter NT 4.0 bei IIS 2.0 an. Dieser Webserver befindet sich auf der NT 4.0 Original-Installations-CD. Auf der NT-Workstation CD als Peer Web Server. Nach Aufspielen des ServicePack 3 hat auch der IIS die Version 3. Diese beiden Version sind einfach zu konfigurieren. HTTP und FTP werden unterstützt. Ebenso CGI und ISAPI. ASP muß extra installiert werden. Ebenso die FPSE. Erst wenn man das NT Option Pack installiert, erhält man (aber auch nur auf NT-Server) den IIS 4.0. Die Version 5.0 gibt es nur zusammen mit Win2000 Server. Details folgen.

Der IIS stellt ein großes Sicherheitsproblem dar. Die Default-Installationsvorgaben sind teilweise grob fahrläßig ab Werk vorgegeben. Da viele Administratoren froh sind, wenn etwas läuft, bleiben diese Default-Einstellung aktiv. Wenn ein IIS 4.0 als Produktions-Webserver läuft, sollte er im mindestens den SP6a installiert haben. Seit August 2001 ist einen weiterer Patch verfügbar. Dieser Patch ist unbedingt zu installieren. Da Microsoft ständig die Links ändert, folgender Tip: Einfach auf der MS-Site nach Q301625 suchen und dann den Patch runterladen. Nützlich ist auch das Bulletin MS01-044. Nach dieser Lekture fragt man sich, ob es überhaupt noch sinnvoll ist, diese Produkte von Microsoft einzusetzten.

FrontPage ^TM is Trademark of Microsoft

Andere Meinung? Fehler gefunden? Feedback? Schreiben Sie mir!