Hiawatha ist ein von Hugo Leisink seit 2002 entwickelter freier Webserver. Er implementiert alle wichtigen Funktionen eines Webservers.

Hiawatha Webserver
Basisdaten

Entwickler Hugo Leisink
Erscheinungsjahr 2002
Aktuelle Version 11.5[1]
(23. Oktober 2023)
Betriebssystem Unix-Derivate, Linux, macOS, Windows mit Cygwin
Programmier­sprache C
Kategorie Webserver
Lizenz GPL (Freie Software)
deutschsprachig nein
www.hiawatha-webserver.org

Funktionsumfang / Besonderheiten

Bearbeiten

Das Programm ist monolithisch aufgebaut und verzichtet im Gegensatz zu den meisten anderen Programmen dieser Kategorie (z. B. Apache HTTP Server, Lighttpd) auf die Möglichkeit, einzelne Module beim Start des Programms zu laden. Ab Version 2.0 nutzt das Programm ausschließlich Threads, dies führt zu einer verbesserten Geschwindigkeit. Die aktuelle Version bietet darüber hinaus einige Funktionen, die nicht zum Standard gehören und sonst teilweise nur durch externe Zusatzprogramme realisiert werden können:

Eine vollständige Liste der Funktionen findet sich auf der Webseite des Projekts[2].

Geschichte

Bearbeiten

Die Entwicklung von Hiawatha begann im Januar 2002, da Hugo Leisink nach eigenen Angaben mit den seinerzeit verfügbaren Webservern nicht zufrieden war. Der Fokus bei der Entwicklung liegt auf Sicherheit, geringem Ressourcenverbrauch sowie einfacher Konfiguration. Nachstehend der Entwicklungsverlauf:

  • Version 1.0 (September 2002): Erste funktionale Version
  • Version 2.0 (März 2004): Umstellung des Programms auf thread-basierte Ausführung (statt fork)
  • Version 3.0 (September 2004): SSL-Unterstützung
  • Version 4.0 (Dezember 2005): Unterstützung für den Aufruf externer CGI-Programme
  • Version 5.0 (Oktober 2006): Implementierung von FastCGI, erstmalige Integration im FreeBSD-Portstree im Dezember 2006[3], bei OpenBSD im März 2007[4]
  • Version 6.0 (Oktober 2007): Implementierung von IPv6
  • Version 7.0 (Februar 2010): Einführung von Hiawatha Monitor, eine auf PHP5, MySQL und Banshee basierende Überwachungsanwendung[5], IPv6 steht nun auch unter Windows zur Verfügung
  • Version 7.5 (Mai 2011): Unterstützung des Do Not Track HTTP-Header-Feldes[6]
  • Version 8.0 (Januar 2012): CMake ersetzt Autoconf und mbed TLS (zum Zeitpunkt des Erscheinens noch PolarSSL genannt) ersetzt OpenSSL, Einführung des HTTP-Statuscodes: 414 Request-URI Too Long
  • Version 9.0 (März 2013): Verwendung eines Thread-Pools (statt Multithreading)
  • Version 9.8 (September 2014): Implementierung des WebSocket-Protokolls[7]
  • Version 10.11 (Juli 2020)

Zwischen diesen Hauptversionen gab es regelmäßige Updates z. B. für die Schließung von Sicherheitslücken oder die Beseitigung von Fehlern.[7][8]

Sicherheit

Bearbeiten

Der Hiawatha Webserver bringt eine Reihe von optionalen Sicherheitsfunktionen mit sich, darunter die automatische Erkennung und Abwehr von SQL-Injection-, XSS und CSRF-Angriffen, sowie von DoS-Attacken. Außerdem wird für die Verschlüsselung von HTTPS-Verbindungen die leichtgewichtigere Bibliothek PolarSSL anstelle von OpenSSL verwendet, die zu einer höheren Sicherheit führen soll. PolarSSL (und somit auch Hiawatha) war im Gegensatz zu OpenSSL (und darauf aufbauenden Webservern wie Apache Web Server oder Nginx) nicht von der Heartbleed-Sicherheitslücke betroffen.[9][10]

Zwischenzeitlich tauchten jedoch vereinzelt Bugs in Hiawatha auf, welche die Sicherheitsfunktionen vollständig oder in bestimmten Situationen außer Kraft setzten.[7] Zuletzt wurde am 31. Mai 2014 bekannt, dass sich die Erkennung von SQL-Injection-Angriffen ab der Version 8.6 durch die Verwendung von SQL-Kommentaren /* */ umgehen ließ.[11] Außerdem funktionierte die Abwehr von XSS-Angriffen nicht für Reverse Proxys. Beide Sicherheitslücken wurden daraufhin in der Version 9.6 geschlossen.[7]

Verbreitung

Bearbeiten

Zuverlässige Zahlen über die Anzahl der Hiawatha Installationen sind nicht verfügbar. Da Hiawatha am besten mit Lighttpd vergleichbar ist, spricht er auch überwiegend die Zielgruppe der Administratoren an, die einen möglichst schlanken Webserver einsetzen wollen.

Bearbeiten

Quellenangaben

Bearbeiten
  1. v11.5 · Tags · Hugo Leisink / Hiawatha web server · GitLab.
  2. Vollständige Liste der Features
  3. Eintrag bei freshports.org
  4. http://openports.se/www/hiawatha
  5. http://hiawatha-webserver.org/monitor
  6. http://dnt.mozilla.org/
  7. a b c d Hiawatha Changelog
  8. Fehlerhinweis im Zusammenhang mit squirrelmail@1@2Vorlage:Toter Link/www.nabble.com (Seite nicht mehr abrufbar, festgestellt im April 2018. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
  9. Heartbleed – Weblog – Hiawatha webserver
  10. PolarSSL Security Advisory 2014-01
  11. SQL injection detection patterns – Weblog – Hiawatha webserver