Regel 42: Verwendung von interaktiven Webseiten (CGI)

Zielgruppe: Alle IT-Nutzer mit Informationsseiten im WorldWideWeb

Hinweis

Unter interaktiven Skripten und Programmen werden hier Programme verstanden, die über eine URL mit einen Satz an Parametern aufgerufen werden und auf dem Webserver laufen. Clientseitige Skripten sind von den folgenden Regeln ausgenommen.

Verbindliche Anforderungen

1. Es dürfen nur solche interaktiven Skripten und Programme eingesetzt werden, welche sich nicht für andere Zwecke als den vorgesehenen eingesetzt werden können. Skripten, die sich durch Aufruf durch Dritte zu unerwarteten Reaktionen ausnutzen lassen, sind nach Information sofort zu sperren.

2. Jedes eingesetzte interaktive Skript oder Programm muß vor Einsatz auf Sicherheitslücken getestet werden. Sollte die dafür erforderliche Kompetenz nicht vorhanden sein, ist von dem Einsatz des Programmes abzusehen.

3. Alle interaktiven Skripten und Programme dürfen nur auf speziell dafür eingerichteten Accounts und in speziellen CGI-Verzeichnissen ausgeführt werden. Die allgemeine Zulassung interaktiver Skripten für alle Verzeichnisse unterhalb des Webbaumes und für jeden Nutzer ist nicht zulässig.

Empfehlungen zur Umsetzung

1. Nutzen Sie im Zweifelsfall die Möglichkeit bei den Webmastern des Regionalen Rechenzentrums nachzufragen ob ein Skript sicher ist.

2. Programme oder Skripten, die von kostenlosen, sogenannten Skript-Archiven aus dem Internet erhalten wurden, erfordern höhere Aufmerksamkeit in Bezug auf Sicherheitslöcher.

3. Der Webserver auf dem CGI-Skripten ausgeführt werden, sollte so eingerichtet sein, daß diese nur unter der Kennung des Owners der Skripte ausgeführt werden. Auf keinem Fall sollte der Webserver Skripten unter der Kennung root ausführen.

Arbeitshilfen und weitere Information

• Regel 41: Webauftritte
• SelfHTML-Tutorium

Letzte Änderung: 13. Maerz 2012, Historie