Re: Apache vs PostgreSQL

[Michael Renner <renner(at)inqnet(dot)at>]

Olaf Radicke wrote:
> Am Freitag 21 März 2008 01:44:07 schrieb Michael Renner:
> > Olaf Radicke wrote:
> >
> > Worauf möchtest du hinaus?
>
> Mal fragen, ob die Annahme, /eine Datenbank müsse immer hinter wen Webserver 
> stehen/, nicht er auf "Esoterischen Grundlagen" beruht, statt auf Fakten, um 
> es mal mit Tim Landscheidt Worten aus zu drücken.

Eine Datenbank direkt ans Netz zu hängen geht genausogut wie einen 
Exchange direkt ans Netz zu hängen oder eine AS400/E25K/sonst 
irgendeinen Dinosaurier direkt ans Netz zu hängen. Es wird 
funktionieren, aber du verlierst einiges an Schutz und Flexibilität.


> > Selbst wenn direkter Zugriff zur Datenbank keine Sicherheitsrisiken
> > bergen sollte (was auch bei Postgres schon mehrmals widerlegt wurde),
> > öffnet er doch Tür und Tor für Denial of Service-Attacken (Examples are
> > left as an exercise for the reader...) [1].
>
> Wenn ich nicht irre, hat Apache keinerlei Funktionalität um ein DOS-Attacken 
> zu begegnen. Für 1.x gab oder gibt es wohl ein mod.

Whoa, der is etwas sehr aus dem Abseits gekommen. Wenn du Webserver 
halbwegs sicher bekommen möchtest verwendest du meistens etwas davor 
dass sich um die Connections kümmert (separaten Apache mit mod_proxy, 
Squid, proprietäre Dinger).

Falls dich die ganze Thematik interessiert kann ich dir "Scalable 
Internet Architectures" vom Herrn Schlossnagle [1] empfehlen, das geht 
jetzt weniger auf den DoS/Security/etc.-Aspekt ein, zeigt aber wie man 
skalierbare Systeme entwirft. Und skalierbare Systeme bekommt man, ob 
ihrer skalierbarkeit, meistens auch DoS-Resistent ;).

lg,
michael

[1] http://www.amazon.de/dp/067232699X/