nicht angemeldet
ausleden von php / htaccess dateinen via http - möglich?
hi folks,
ist es praktisch möglich den quellcode / die daten aus einer php / htaccess-datei auszulesen wenn man nur über einen zugang über das http-protokol besitzt. und wenn ja, wie hoch ist der aufwand?
vorraussetzungen: apache mit "standart"-config, php mit "standart"-config, OS ist egal.
thx for help.
tschau
-
Moin!
ist es praktisch möglich den quellcode / die daten aus einer php / htaccess-datei auszulesen wenn man nur über einen zugang über das http-protokol besitzt. und wenn ja, wie hoch ist der aufwand?
Es ist (natürlich) konfigurationsabhängig.
Die Daten von Dateien, deren Name mit ".ht" beginnt, sind in allen mir bekannten Apache-Konfigurationen für die Auslieferung gesperrt An die kommt man über HTTP nicht ran.
Der Quelltext von PHP-Skripten wird nur dann als Quelltext geliefert, wenn kein PHP-Interpreter funktionsfähig installiert und mit der Dateiendung verknüpft ist. Bedenke: ".php" != ".php4" != ".php3" - die falsche Endung hat Fehlfunktion und Quelltextauslieferung zur Folge, üblicherweise ist nur die Dateiendung ".php" als Skript konfiguriert.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
aloha,
Es ist (natürlich) konfigurationsabhängig.
jo, klärchen. die größte schwachstelle an nem system ist ja sowieso der administrator / user.
Die Daten von Dateien, deren Name mit ".ht" beginnt, sind in allen mir bekannten Apache-Konfigurationen für die Auslieferung gesperrt An die kommt man über HTTP nicht ran.
sehr gut. also kann man htaccess-dateien als sicher ansehen wenn man dort passwörter speichert oder ähnliches, risikobehaftete daten die für logins benötigt werden?
Der Quelltext von PHP-Skripten wird nur dann als Quelltext geliefert, wenn kein PHP-Interpreter funktionsfähig installiert und mit der Dateiendung verknüpft ist.
jup, auch klärchen. ist dieser aber installiert dann ist das auslesen auch "unmöglich"?
tschau
-
Hi Backbone,
sehr gut. also kann man htaccess-dateien als sicher ansehen wenn man dort passwörter speichert oder ähnliches, risikobehaftete daten die für logins benötigt werden?
Die Passwörter stehen in einer Datei die oft .htpasswd genannt wird. Diese Datei liegt sinnvollerweise überhaupt nicht im Web-Pfad. (Genau darum ist es ja eine extra Datei.)
jup, auch klärchen. ist dieser aber installiert dann ist das auslesen auch "unmöglich"?
Genau.
Allerdings sind auch hier wieder Fehler zu erwarten (IMHO sogar eher als bei den .ht* Dateien). Deshalb sollten alle Passwörter (etc.) enthaltenden Scriptteile in include()-Dateien liegen die nicht im Web-Pfad liegen.Wie Sven schon sagte, normalerweise können diese Dateien nicht per Apache/http ausgeliefert werden. Normalerweise.... Deshalb legt der verantwortungsbewusste Seitenbetreiber sie ausserhalb des Webpfades ab, damit sie auch dann nicht gelesen werden können wenn etwas schiefgeht.
Gruss,
Carsten
-
-