Hiawatha Webserver

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Hiawatha Webserver
Entwickler Hugo Leisink
Erscheinungsjahr 2002
Aktuelle Version 9.8[1][2]
(27. September 2014)
Betriebssystem Unix-Derivate, Linux, Mac OS X, Windows mit Cygwin
Programmier­sprache C
Kategorie Webserver
Lizenz GPL (Freie Software)
Deutschsprachig nein
www.hiawatha-webserver.org

Hiawatha ist ein von Hugo Leisink seit 2002 entwickelter freier Webserver. Er implementiert alle wichtigen Funktionen eines Webservers.

Funktionsumfang / Besonderheiten[Bearbeiten]

Das Programm ist monolithisch aufgebaut und verzichtet im Gegensatz zu den meisten anderen Programmen dieser Kategorie (z.B. Apache HTTP Server, Lighttpd) auf die Möglichkeit, einzelne Module beim Start des Programms zu laden. Seit Version 2.0 nutzt das Programm ausschließlich Threads, dies führt zu einer verbesserten Geschwindigkeit. Die aktuelle Version bietet darüber hinaus einige Funktionen, die nicht zum Standard gehören und sonst teilweise nur durch externe Zusatzprogramme realisiert werden können:

Eine vollständige Liste der Funktionen findet sich auf der Webseite des Projekts[3].

Geschichte[Bearbeiten]

Die Entwicklung von Hiawatha begann im Januar 2002, da Hugo Leisink nach eigenen Angaben mit den seinerzeit verfügbaren Webservern nicht zufrieden war. Der Fokus bei der Entwicklung liegt auf Sicherheit, geringem Ressourcenverbrauch sowie einfacher Konfiguration. Nachstehend der Entwicklungsverlauf:

Zwischen diesen Hauptversionen gab es regelmäßige Updates z.B. für die Schließung von Sicherheitslücken oder die Beseitigung von Fehlern.[1][8]

Sicherheit[Bearbeiten]

Der Hiawatha Webserver bringt eine Reihe von optionalen Sicherheitsfunktionen mit sich, darunter die automatische Erkennung und Abwehr von SQL-Injection-, XSS und CSRF-Angriffen, sowie von DoS-Attacken. Außerdem wird für die Verschlüsselung von HTTPS-Verbindungen die leichtgewichtigere Bibliothek PolarSSl anstelle von OpenSSL verwendet, die zu einer höheren Sicherheit führen soll. PolarSSL (und somit auch Hiawatha) war im Gegensatz zu OpenSSL (und darauf aufbauenden Webservern wie Apache Web Server oder Nginx) nicht von der Heartbleed-Sicherheitslücke betroffen.[9][10]

Zwischenzeitlich tauchten jedoch vereinzelt Bugs in Hiawatha auf, welche die Sicherheitsfunktionen vollständig oder in bestimmten Situationen außer Kraft setzten.[1] Zuletzt wurde am 31. Mai 2014 bekannt, dass sich die Erkennung von SQL-Injection-Angriffen seit der Version 8.6 durch die Verwendung von SQL-Kommentaren /* */ umgehen ließ.[11] Außerdem funktionierte die Abwehr von XSS-Angriffen nicht für Reverse Proxys. Beide Sicherheitslücken wurden daraufhin in der Version 9.6 geschlossen.[1]

Verbreitung[Bearbeiten]

Zuverlässige Zahlen über die Anzahl der Hiawatha Installationen sind nicht verfügbar. Da Hiawatha am besten mit Lighttpd vergleichbar ist, spricht er auch überwiegend die Zielgruppe der Administratoren an, die einen möglichst schlanken Webserver einsetzen wollen.

Weblinks[Bearbeiten]

Quellenangaben[Bearbeiten]

  1. a b c d e Hiawatha Changelog
  2. Hiawatha Latest
  3. Vollständige Liste der Features
  4. Eintrag bei freshports.org
  5. http://openports.se/www/hiawatha
  6. http://hiawatha-webserver.org/monitor
  7. http://dnt.mozilla.org/
  8. Fehlerhinweis im Zusammenhang mit squirrelmail
  9. Heartbleed – Weblog – Hiawatha webserver
  10. PolarSSL Security Advisory 2014-01
  11. SQL injection detection patterns – Weblog – Hiawatha webserver