1.5. Sicherheit

Da LiveConfig einen root-Zugriff auf allen damit verwalteten Servern besitzt, wurde bei der Entwicklung besonders viel Wert auf die Sicherheit gelegt. So werden beispielsweise sämtliche Eingaben in Web-Formularen mittels sogenannter regulärer Ausdrücke vorab auf ihre Plausibilität geprüft. Die integrierte Datenbank-Schnittstelle arbeitet mit Prepared Statements, was klassische SQL Injections praktisch unmöglich macht.

Ein weiterer Schwerpunkt liegt in der Vermeidung von Information Leakage. Alle Objekt-IDs werden dem Benutzer nur verschlüsselt angezeigt - man kann also anhand der IDs von Objekten nicht auf deren Anzahl schließen. So ist es beispielsweise einem Reseller nicht möglich herauszufinden, wie viele andere Kunden oder Domains dessen Lieferant mit LiveConfig verwaltet.

Nicht zuletzt speichert LiveConfig alle Passwörter und sonstige sensible Informationen (z.B. private Schlüssel für SSL-Zertifikate) ausschließlich als gesalzene Hashes oder stark verschlüsselt. Die Anmeldung an LiveConfig erkennt und blockiert automatisch Brute-Force-Angriffe und kann mittels Zwei-Faktor-Authentifizierung zusätzlich abgesichert werden.