Sven Rautenberg: Apache2 Directory Allow from <IP range>

Beitrag lesen

Moin!

Ist aber momentan für die unmittelbare Lösung meines Vorhabens auch nicht (mehr) wichtig, da mir zwischenzeitlich auch mal aufgefallen ist, dass es über den (partiellen) Hostnamen deutlich einfacher geht.

Das ist aber aus Performance- und Sicherheitsgründen keine wirklich schöne Lösung.

Performance: Jeder Request erfordert einen Reverse-DNS-Lookup, damit der der IP zugeordnete Domainname mit dem Muster verglichen werden kann - das will man eigentlich nie. Außerdem:

Security: Die Rückwärtsauflösung der IP in einen Namen übernehmen Systeme, denen du nicht vertrauen kannst. Eine IP hat jeder - und Gewalt über den Nameserver, der diese IP rückwärts in den Domainnamen auflöst, hat ein Angreifer im Zweifel auch, das ist gar keine Kunst, sondern elementarer Bestandteil jedes etwas größeren Hostings eines Servers mit eigener IP. Ein Angreifer kann dir also mit Leichtigkeit den gewünschten Domainnamen vorspielen.

- Sven Rautenberg