Ingo Siemon: PHP verstecken/verbergen

0 81

PHP verstecken/verbergen

Ingo Siemon
  • webserver
  1. 0
    Dennis
    1. 0
      Ingo Siemon
      1. 0
        Sven Rautenberg
        1. 0
          Dennis
          1. 0
            Ashura
            1. 0
              Fred Feuerstein
              1. 0
                eddi
                1. 0
                  Fred Feuerstein
        2. 0
          Ingo Siemon
          1. 0
            Manuel B.
          2. 0
            Dennis
            1. 0
              Ingo Siemon
              1. 0
                Dennis
                1. 0
                  Ingo Siemon
                  1. 0
                    Ashura
                    1. 0
                      Ingo Siemon
        3. 0
          eddi
      2. 1
        Jonathan
        1. 0
          Ingo Siemon
          1. 0
            Jonathan
            1. 0
              Ingo Siemon
              1. 0
                wahsaga
                1. 0
                  Ingo Siemon
                  1. 0
                    wahsaga
                    1. 0
                      Ingo Siemon
              2. -1
                Jonathan
                1. 0
                  Ingo Siemon
                2. 0
                  Gunnar Bittersmann
                  1. 0
                    Ingo Siemon
                    1. 0
                      Dennis
                      1. 0
                        eddi
                        1. 0
                          Dennis
                          1. 0
                            eddi
  2. 0
    Gunnar Bittersmann
    1. 0
      Ingo Siemon
      1. 0
        eddi
        1. 0
          Ingo Siemon
          1. 0
            eddi
            1. 0
              Ingo Siemon
              1. 0
                eddi
                1. 0
                  Ingo Siemon
                  1. 0
                    Dennis
          2. 1
            Gunnar Bittersmann
            1. 0
              Ingo Siemon
            2. 0

              und Content Negotiation

              eddi
              • https
      2. 0
        Cybaer
        1. 0
          Ingo Siemon
          1. 0
            Cybaer
            1. 0
              Ingo Siemon
              1. 0
                Cybaer
                1. 0
                  Ingo Siemon
        2. 0
          Ashura
          1. 1
            Cybaer
            1. 0
              Dennis
    2. 0
      Cybaer
      1. 0
        Ingo Siemon
  3. 0

    Dateinamen-Erweiterungen ausblenden/deaktivieren

    Ingo Siemon
    1. 0
      wahsaga
      1. 0
        Ingo Siemon
        1. 0
          at
          1. 0
            Ingo Siemon
            1. 0
              eddi
              1. 0
                Ingo Siemon
                1. 0
                  eddi
                  1. 0
                    Ingo Siemon
                    1. 0
                      Gunnar Bittersmann
                      1. 1
                        Cybaer
                        1. 0
                          Gunnar Bittersmann
                          1. 0
                            Cybaer
                      2. 0
                        Ingo Siemon
                    2. 0
                      Cybaer
                      1. 0
                        Ingo Siemon
                        1. 0
                          Cybaer
                          1. 0
                            Ingo Siemon
                2. 0
                  Candid Dauth
                  1. 0
                    Ingo Siemon
                    1. 0
                      Candid Dauth
                      1. 0
                        Ingo Siemon
                    2. 0
                      at
                      1. 0
                        Ingo Siemon

Hallo

Ich würde gerne von Euch wissen, ob Ihr es für Sinnvoll haltet,
PHP zu verstecken/verbergen.

Mann kann ja z.B. per .htaccess-Datei dafür sorgen,
dass alle .htm-Dateien durch PHP gepartst werden.

Oder man könnte allen PHP-Dateien eine falsche oder sogar
frei erfundene Dateinamenwerweiterung verpassen.
Und diese dann eben duch die .htaccess-Datei von PHP parsen lassen.

Es geht mir darum, nach aussen hin zu verbergen,
dass PHP genutzt wird. Um z.B. potenziellen Angreifern
es etwas schwerer zu machen,
bzw. sie nicht mit der Nase drauf zu stossen, dass man
mal gucken könnte, ob dort PHP-Lücken bestehen.

Bisher habe ich es so gemacht, dass alle htm-Dateien durch
PHP geparst werden. Aber das führt ja (theoretisch zumindest)
zu kleinen Performance-Einbussen, weil sich dann eben auch
alle meine "reinen" .htm-Dateien ja auch beim PHP-Parser
"in die Schlange stellen" müssen.

Was haltet Ihr grundsätzlich davon?
Gruß
Ingo

  1. Hi Ingo,

    Was haltet Ihr grundsätzlich davon?

    Im Prinzip schadet es ja nicht, so etwas zu machen, aber:

    1. Das täuscht eine Sicherheit vor, die nicht vorhanden ist, mann muss sich also immer bewusst machen, dass man _selber_ es ist, der für die Sicherheit der eigenen Scripte verantwortlich ist!
    2. Man muss in der php.ini natürlich expose_php (oder so ähnl.) auf off stellen, sonst ist das natürlich witzlos, weil PHP dann einen Header X-Powered-By PHP x.x mitschickt.
    3. Weiterhin darf man im produktiven Betrieb keinerlei Fehlermeldungen ausgeben lassen, display_errors muss also auf off stehen und die Fehler müssen alle in eine Datei geloggt werden, da man sonst an den Fehlermeldungen erkennen würde, dass es sich um PHP handelt.

    Kurz um, beachtet man alle 3 Punkte, dann kann es u.U. sicherlich etwas bringen - ich würde das aber glaube ich für etwas zu aufwendig halten. Meines Achtens ist es da wesentlich wichtiger ein Auge darauf zu behalten, dass man immer die neueste PHP Version installiert hat und darauf, dass man seine Scripte alle sicher[tm] programmiert.

    MfG, Dennis.

    1. Lieber Dennis

      Danke erstmal für Deine schnelle und ausführliche Antwort.

      1. Das täuscht eine Sicherheit vor, die nicht vorhanden ist.

      Doch, das ist klar. Mir geht es dabei auch nicht darum,
      eine zusätzlich Sicherheit der Scripte zu erreichen.
      Diese sollten natürlich immer sicher "programmiert" sein.

      Mir ging es nur darum, nach aussen hin nicht gleich jedem
      "auf die Nase zu binden", dass ich eben PHP verwende.
      Klar, ein richtig professioneller "Angreifer" wird sich davon
      nicht abschrecken lassen.
      Aber so Leien-Hacker kann man sich damit vielleicht etwas
      vom Hals halten, dachte ich.
      Und solchen Bots, die automatisch nach PHP-Dateien suchen usw.

      1. Man muss in der php.ini natürlich expose_php (oder so ähnl.) auf off stellen, sonst ist das natürlich witzlos, weil PHP dann einen Header X-Powered-By PHP x.x mitschickt.

      Da ich keinen eigenen Server betreibe, sondern meine Seiten
      bei einem ISP gehostet habe ... kann ich das irgendwie überprüfen,
      wie das bei meinem ISP eingestellt ist?
      Oder kann ich das evtl. selbst über sowas wie die .htaccess-Datei beeinflussen?

      1. Weiterhin darf man im produktiven Betrieb keinerlei Fehlermeldungen ausgeben lassen, display_errors muss also auf off stehen

      Da stellt sich für mich als PHP-Laeien die gleich Frage wie unter 2.

      Kurz um, beachtet man alle 3 Punkte, dann kann es u.U. sicherlich etwas bringen - ich würde das aber glaube ich für etwas zu aufwendig halten.

      Naja, wenn man einfach allen PHP-Dateien z.B. die Erweiterung
      .asp "verpasst, und diese dann durch .htaccess von PHP parsen lässt,
      ist das doch nicht so sehr aufwendig, oder sehe ich das falsch?

      Meines Achtens ist es da wesentlich wichtiger ein Auge darauf zu behalten, dass man immer die neueste PHP Version installiert hat und darauf, dass man seine Scripte alle sicher[tm] programmiert.

      Ja, das ist natürlich das allerwichtigste.
      Es war ja auch nur so als zusätzliche Möglichkeit gedacht.

      Gruß
      Ingo

      1. Moin!

        Da ich keinen eigenen Server betreibe, sondern meine Seiten
        bei einem ISP gehostet habe ... kann ich das irgendwie überprüfen,
        wie das bei meinem ISP eingestellt ist?
        Oder kann ich das evtl. selbst über sowas wie die .htaccess-Datei beeinflussen?

        Du kannst dir die HTTP-Header mal ausgeben lassen. Wenn PHP dort erwähnt ist, kannst du dein Vorhaben gleich wieder aufgeben, weil du an die entscheidenden Einstellungen nicht ran kommst.

        - Sven Rautenberg

        --
        My sssignature, my preciousssss!
        1. Hi Sven,

          Du kannst dir die HTTP-Header mal ausgeben lassen. Wenn PHP dort erwähnt ist, kannst du dein Vorhaben gleich wieder aufgeben, weil du an die entscheidenden Einstellungen nicht ran kommst.

          Richtig, da expose_php eine PHP_INI_SYSTEM Einstellung ist, wie ich gerade herausgefunden habe und deshalb nur in der php.ini oder der httpd.conf festgelegt werden kann ;-)

          Aber eine andere Idee: Was passiert wenn ich im PHP Script einen Header X-Powered-By sende? Ich meine, dann würde die Angabe von PHP überschrieben...

          MfG, Dennis.

          1. Hallo Dennis.

            Aber eine andere Idee: Was passiert wenn ich im PHP Script einen Header X-Powered-By sende? Ich meine, dann würde die Angabe von PHP überschrieben...

            Wird sie auch. (Eben ausprobiert.)

            Einen schönen Samstag noch.

            Gruß, Ashura

            --
            sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
            „It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
            [HTML Design Constraints: Logical Markup]
            1. Hallo Ashura, hallo die Anderen

              Aber eine andere Idee: Was passiert wenn ich im PHP Script einen Header X-Powered-By sende? Ich meine, dann würde die Angabe von PHP überschrieben...

              Wird sie auch. (Eben ausprobiert.)

              Hierzu habe ich auch was zu melden/fragen, passt nicht ganz zum Hauptthema dieses Threads, aber zu den von PHP überschriebenen Headern:

              Ich habe mal ein php-script im img-tag eingesetzt (<img src="bild.php?id=123" ...), welches alle notwendigen header gesendet hat, unter anderem auch für's cachen und expire. Die wurden aber von PHP (oder Apache?) überschrieben, bzw. unerwünscht ergänzt.

              Ich wollte z.B. senden: Pragma cache und heraus kam: Pragma no-cache
              usw.
              Warum ist das so, bzw. kann man das und wenn ja, wie, ändern?

              Gruß,
              FF

              1. Hallo,

                Ich habe mal ein php-script im img-tag eingesetzt (<img src="bild.php?id=123" ...), welches alle notwendigen header gesendet hat, unter anderem auch für's cachen und expire. Die wurden aber von PHP (oder Apache?) überschrieben, bzw. unerwünscht ergänzt.

                wahrscheinlich vom Apachen.

                Warum ist das so, bzw. kann man das und wenn ja, wie, ändern?

                vermutlich wurden ersetzende Header für den MIME-Type konfigurert. Zum ändern von Headern gibt es mod_headers und in Deinem Fall vielleicht auch noch ganz interessant: mod_expires

                Gruß aus Berlin!
                eddi

                1. Hallo Eddi,

                  Ich habe mal ein php-script im img-tag eingesetzt (<img src="bild.php?id=123" ...), welches alle notwendigen header gesendet hat, unter anderem auch für's cachen und expire. Die wurden aber von PHP (oder Apache?) überschrieben, bzw. unerwünscht ergänzt.

                  wahrscheinlich vom Apachen.

                  Warum ist das so, bzw. kann man das und wenn ja, wie, ändern?

                  vermutlich wurden ersetzende Header für den MIME-Type konfigurert.

                  Hmm, nein, in dem Fall glaube ich nicht. Ich hatte damals selber schon für jpegs, gifs, und pngs in der htaccess mit mod_expire z.B. 48 STunden Gültigkeit seit Access-Zeitpunkt angegeben.
                  Wenn man die Bilder per <img src="bild.jpg" .. aufrief, wurden auch die gewünschten Header gesendet. Wenn man die Bilder mit dem php-script sendete waren die Header entweder überschrieben oder teilweise mit anderen Werten gefüllt. Auch wenn die expire-Anweisungen in der htaccess-datei standen.
                  Ich hatte damals meinen Webprovider angeschrieben und ihm das Problem beschrieben, die haben mir dann eben die Zeilen fürs mod_expire diktiert und nachdem das nicht klappte auch mal in mein Beispielscript geschaut. Danach meinten Sie, das der Apache keine besonderen Einstellungen diesbezügliuch hätte, und es wohl mit PHP zu tun habe müße, sie aber nicht wüßten wo wie oder was Sie ändern könnten.

                  Zum ändern von Headern gibt es mod_headers

                  Das ist nicht schlecht, habe gerade nachgesehen, gibt's auch beim 1.3-Apachen.
                  Gut wäre evtl. noch ein Tip, wie man Direktiven nur für bestimmte MimeTypen damit setzen kann. Wenn ich dazu nichts finde probiere ich es erst einmal so, indem ich das img.php-script in ein eigenes Verzeichnis lege, in dieses Verzeichnis auch eine htaccess die theoretisch für alles die expire, cache und pragma header ersetzt.
                  Wäre dann nicht fein, aber nach meinem Verständnis sollte das dann erst schon mal funktionieren.

                  Vielen Dank für den Tip,
                  FF

        2. Tach Sven

          Du kannst dir die HTTP-Header mal ausgeben lassen.

          Sorry, wenn ich nochmal blöd frage.
          Wie mache ich das denn?

          Wenn PHP dort erwähnt ist, kannst du dein Vorhaben gleich wieder aufgeben, weil du an die entscheidenden Einstellungen nicht ran kommst.

          OK, und Du meinst, dass mein Vorhaben dann überhaupt keinen Sinn macht?
          Auch nicht, um irgendwelche echten Hacker-Laien nicht
          auf bei mir verwendetes PHP aufmerksame zu machen?

          Ich meine, Schaden kanns doch eigentlich auch nicht, oder?

          Gruß
          Ingo

          1. Hi,

            Du kannst dir die HTTP-Header mal ausgeben lassen.

            Sorry, wenn ich nochmal blöd frage.
            Wie mache ich das denn?

            Im FF gibt es die Developer-Toolbar, ist sowieso zu empfehlen. Da Kannst du das über "Information -> View response header" anzeigen lassen.

          2. Hi Ingo,

            OK, und Du meinst, dass mein Vorhaben dann überhaupt keinen Sinn macht?
            Auch nicht, um irgendwelche echten Hacker-Laien nicht
            auf bei mir verwendetes PHP aufmerksame zu machen?

            Wenn PHP einen Header mitsendet, aus dem klipp und klar hervorgeht, dass PHP verwendet und wird und auch noch die Versionsnummer genannt wird, ist das wie wenn du deine Haustür zwar abschließt, aber den Schlüssel unter die Fußmatte legst - da gucken Einbrecher doch wohl als erstes nach!

            MfG, Dennis.

            1. Lieber Dennis

              Wenn PHP einen Header mitsendet, aus dem klipp und klar hervorgeht, dass PHP verwendet und wird und auch noch die Versionsnummer genannt wird, ist das wie wenn du deine Haustür zwar abschließt, aber den Schlüssel unter die Fußmatte legst - da gucken Einbrecher doch wohl als erstes nach!

              Naja, aber wenn nun die Fussmatte gut getarnt ans
              STück des 20000pm großen Vorgartens da liegt,
              dann wirds schon schwieriger.

              Ne, mal im Ernst, es ist schon klar, dass die Sicherheit
              der Scripte selbst natürlich allerhöchste Priorität hat.

              Ich wollte je von Euch eigentlich nur wissen,
              ob es irgendwelche Aspekte gibt, die gegen das "Tarnen"
              von PHP sprechen.

              Gruß
              Ingo

              1. Hi Ingo,

                Ich wollte je von Euch eigentlich nur wissen,
                ob es irgendwelche Aspekte gibt, die gegen das "Tarnen"
                von PHP sprechen.

                Nein - dagegen spricht aus meiner Sicht nichts, aber es ist
                eben sinnlos, wenn du nicht _alle_ der drei von mir
                genannten Punkte beachtest.

                MfG, Dennis.

                1. Hallo Dennis

                  Nein - dagegen spricht aus meiner Sicht nichts, aber es ist
                  eben sinnlos, wenn du nicht _alle_ der drei von mir
                  genannten Punkte beachtest.

                  OK.

                  Da ich leider erst echter PHP-Anfänger bin,
                  habe ich noch 2 Fragen.

                  1. Wie kann ich denn den HTTP-Header der entsprechenden Dateien mal ausgeben lassen,
                  um zu sehen, ob dort PHP erwähnt wird (obwohl das ja wohl es so ein wird)?
                  Ich würde mir ungern ectra dafür etwas installieren.
                  Gibts da nicht im Internet ne Möglichkeit.

                  2. Wo kann ich mich denn mal in deutscher Sprache schlau machen,
                  wie ich im PHP Script einen Header X-Powered-By sende?
                  So wie es in Deinem Posting empfohlen hast?
                  Es müsste allerding für Laien irgendwie begreifbar sein ;-)
                  Hättest Du da evtl. einen Tipp für mich?

                  Gruß
                  Ingo

                  1. Hallo Ingo.

                    1. Wie kann ich denn den HTTP-Header der entsprechenden Dateien mal ausgeben lassen,
                      um zu sehen, ob dort PHP erwähnt wird (obwohl das ja wohl es so ein wird)?
                      Ich würde mir ungern ectra dafür etwas installieren.

                    Siehst du die Installation der LiveHTTPHeaders-Erweiterung als aufwändig an?

                    Gibts da nicht im Internet ne Möglichkeit.

                    Natürlich.

                    1. Wo kann ich mich denn mal in deutscher Sprache schlau machen,
                      wie ich im PHP Script einen Header X-Powered-By sende?

                    Im Handbuch natürlich.

                    Einen schönen Samstag noch.

                    Gruß, Ashura

                    --
                    sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
                    „It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
                    [HTML Design Constraints: Logical Markup]
                    1. Hallo Ashura

                      Vielen Dank für die Links.

                      Gruß
                      Ingo

        3. Moi moin,

          ... Wenn PHP dort erwähnt ist, kannst du dein Vorhaben gleich wieder aufgeben, weil du an die entscheidenden Einstellungen nicht ran kommst.

          dann ist das Kind zwar im Brunnen, aber noch nicht abgesoffen. Mittels mod_headers (was leider nicht zum Standardpacket eingebundener Module des Apachen gehört) kann man diese Header wieder löschen.

          Gruß aus Berlin!
          eddi

      2. Aber so Leien-Hacker kann man sich damit vielleicht etwas
        vom Hals halten, dachte ich.

        Wenn deine Scripte einigermaßen sicher sind, brauchst du vor "Laien-Hackern" keine Angst haben.

        Man kann außerdem auch Schaden auf Webseiten verursachen, ohne zu wissen, welche Technik verwendet wird. Bruteforce oder Versuche, irgendwelche Datenbanken vollzumüllen können immer probiert werden, unabhängig, ob PHP, ASP oder Perl eingesetzt wird.

        Jonathan

        1. Lieber Jonathan

          Wenn deine Scripte einigermaßen sicher sind, brauchst du vor "Laien-Hackern" keine Angst haben.

          OK, das stimmt auch wieder.
          Und Profi-Hacker werden schon wissen, wie sie meine
          Versuche, PHP zu verbergen, umgehen können.
          Das meinst Du, oder?

          Man kann außerdem auch Schaden auf Webseiten verursachen, ohne zu wissen, welche Technik verwendet wird. Bruteforce oder Versuche, irgendwelche Datenbanken vollzumüllen können immer probiert werden, unabhängig, ob PHP, ASP oder Perl eingesetzt wird.

          Ja, leuchtet ein.
          Es war eben nur so eine grundsätzliche Überlegung,
          um einfach den ausseren Anschein zu erwecken, dass meine
          Seiten alle nur simple .htm-Seiten sind.

          Gefunden habe ich diese Idee übrigens hier:
          http://www.goldvision.com/us/en/manuals/phpde/security.hiding.html

          Gruß
          Ingo

          1. Und Profi-Hacker werden schon wissen, wie sie meine
            Versuche, PHP zu verbergen, umgehen können.
            Das meinst Du, oder?

            Naja. "Umgehen" hört sich etwas drastisch an. Wenn deine Seite nur irgendwie dynamischen Inhalt hat, man z.B. Kommentare verfassen kann, oder dass irgendwelche Formulare (die nicht mit JS laufen) exitieren, dann ist es ja offensichtlich, dass es sich nicht um simple htm-Seiten handelt.

            Welche Technik verwendet wird, mag dann scho entwas schwieriger rauszufinden sein, (wenn du PHP gut versteckt hast), ist aber häufig für Angriffe auch garnicht wichtig. Und zur Not probiert man halt erstmal ASP-Schwachstellen anzugreifen, wenn das nicht klappt Perl, und wenn das auch nicht klappt halt PHP. Wenn du Pech hast, wars das dann. Aber nochmal: Die meisten Sicherheitsprobleme treten bei allen Programmiersprachen auf, SQL-Injection oder die Einschleusung von <script>-Tags kann man z.B. immer probieren.

            1. Tach Jonathan

              OK, verstehe.
              Also meinst Du, ich sollte auf sowas verzcihten?
              Was sagst Du denn zu dem Argument "schaden kanns nicht"?

              die Einschleusung von <script>-Tags kann man z.B. immer probieren

              Meine Idee hinter dem Anliegen, PHP zu verbergen,
              ist eben genau dazu nicht "einzuladen" sozusagen.
              Also anders gesagt "keine schlafenden Hunde wecken".

              Gruß
              Ingo

              1. hi,

                die Einschleusung von <script>-Tags kann man z.B. immer probieren

                Meine Idee hinter dem Anliegen, PHP zu verbergen,
                ist eben genau dazu nicht "einzuladen" sozusagen.

                Wie schon gesagt:
                Dass "Dynamik" irgendeiner Art dahintersteckt, erkenne ich schon daran, dass ich bspw. Kommentare posten kann, die dann gleich darauf auf der Seite erscheinen.
                Also kann ich auch versuchen, da bspw. Javascript-Code o.ä. einzuschleusen. Ob du für deine Dynamik dabei PHP verwendest, oder irgendetwas anderes, ist dabei _vollkommen_ ohne Belang.

                gruß,
                wahsaga

                --
                /voodoo.css:
                #GeorgeWBush { position:absolute; bottom:-6ft; }
                1. Hallo nochmal

                  Wie schon gesagt:
                  Dass "Dynamik" irgendeiner Art dahintersteckt, erkenne ich schon daran, dass ich bspw. Kommentare posten kann, die dann gleich darauf auf der Seite erscheinen.
                  Also kann ich auch versuchen, da bspw. Javascript-Code o.ä. einzuschleusen. Ob du für deine Dynamik dabei PHP verwendest, oder irgendetwas anderes, ist dabei _vollkommen_ ohne Belang.

                  Ja, das habe ich verstanden.
                  Ich hatte mir das so gedacht, wenn man auf z.B. meine Formulare
                  trifft, und in der URL steht ../formular.htm
                  und eben nicht ../formular.php probiert man es vielleicht garnicht erst aus.
                  Bzw. wird nicht auf die Idee gebracht, zu probieren da was einzuschleusen.

                  Klar, wenn man das Formular dann absendet und merkt, dass da
                  irgendwelche Sachen ercshienen wie z.B. "fehlerhafte E-Mail ADresse",
                  ists spätestens klar. Aber man merkts eben erst, wenn man das
                  Formular auch benutzt.

                  Und ein weitere Gedanke von mir war, wenn ALLE meine Seiten
                  laut Dateianhang nur .htm-Dateien sind, kann man auf den ersten
                  Blick eben garnicht erkennen, was für eine Scriptsprache ich favorisiere
                  bzw. ob hinter dem Shop eine Datenbank steckt usw.
                  Weil es eben (wohlgemerkt nur auf den ersten Blick)
                  ausschaut, als wäre alles nur statisches HTML.

                  Gruß
                  Ingo

                  1. hi,

                    Ich hatte mir das so gedacht, wenn man auf z.B. meine Formulare
                    trifft, und in der URL steht ../formular.htm
                    und eben nicht ../formular.php probiert man es vielleicht garnicht erst aus.

                    Du meinst also, wenn ich auf ein Formular treffe, welches als Ziel eine Ressource auf dem Server hat, ginge ich nicht davon aus, dass du diese Daten dort auch verarbeiten wirst ...?

                    gruß,
                    wahsaga

                    --
                    /voodoo.css:
                    #GeorgeWBush { position:absolute; bottom:-6ft; }
                    1. Hi

                      Du meinst also, wenn ich auf ein Formular treffe, welches als Ziel eine Ressource auf dem Server hat, ginge ich nicht davon aus, dass du diese Daten dort auch verarbeiten wirst ...?

                      ;-))

                      OK, OK, da hast Du natürlich recht.
                      Warscheinlich löst sich mein ganzes Anliegen im Grunde in Wohlgefallen auf.

                      Gruß
                      Ingo

              2. Also meinst Du, ich sollte auf sowas verzcihten?
                Was sagst Du denn zu dem Argument "schaden kanns nicht"?

                Schaden kann's wirklich nicht. Das einzige, was passieren kann, ist dass du einen Hacker* neugierig machst, der dann "erforschen" will, wie gut du wirklich deine Skripte versteckt hast, sodass der dann erst recht mögliche Schwachstellen austestet um herauszufinden, ob du was drauf hast.

                die Einschleusung von <script>-Tags kann man z.B. immer probieren

                Meine Idee hinter dem Anliegen, PHP zu verbergen,
                ist eben genau dazu nicht "einzuladen" sozusagen.
                Also anders gesagt "keine schlafenden Hunde wecken".

                Wenn du so lustige Verbergungstechniken verwendest lädst du eigentlich gerade dazu ein, da Hacker* eben austesten wollen, wie gut der Schutz ist und das evtl. als ein Spiel ansehen und vielleicht noch mehr dazu angespornt sind, deine Seite zu analysieren bzw. zu "hacken". Allerdings lässt die Verwendung von so einer Technik auf eine gewisse professionalität schließen, sodass man annehmen kann, dass das hacken vielleicht doch nicht so klug/erfolgreich wäre.

                Und noch ein Tipp am Rande: Wenn du wirklich php verbergen willst, dann halte ich es für bessser, nicht die Dateien in htm umzubenennen, sondern die Dateien einfach ohne Endung zu verwenden. Das sieht erstens viel professioneller aus und zweitens wundert man sich nicht darüber, wieso plötzlich htm-Dateien dynamisch sind. Technische Realisierung wäre (meines Wissens) z.B. über mod_rewrite.

                *Jaja ich weiß, Hacker ist Definitionssache. Ich könnte auch Scriptkiddie oder Cracker oder sonstwas schreiben...

                1. Lieber Jonathan

                  Schaden kann's wirklich nicht. Das einzige, was passieren kann, ist dass du einen Hacker* neugierig machst, der dann "erforschen" will, wie gut du wirklich deine Skripte versteckt hast, sodass der dann erst recht mögliche Schwachstellen austestet um herauszufinden, ob du was drauf hast.

                  OK, ich werde mein Anliegen nun  doch nochmal ernsthaft überdenken.

                  Gruß
                  Ingo

                2. Hello out there!

                  […] dann halte ich es für bessser, nicht die Dateien in htm umzubenennen, sondern die Dateien einfach ohne Endung zu verwenden.

                  Ach was? ;-)

                  Technische Realisierung wäre (meines Wissens) z.B. über mod_rewrite.

                  Oder z.B. über Options +MultiViews

                  See ya up the road,
                  Gunnar

                  PS: Ein URI ist kein Dateiname oder -ort, es ist ein Identifikator (eine Referenz) zu einer Ressource. [Content-Negotiation]

                  --
                  “Remember, in the end, nobody wins unless everybody wins.” (Bruce Springsteen)
                  1. Lieber Gunnar

                    Oder z.B. über Options +MultiViews

                    Ich habe das nun mal probiert. Ihabe also nun in meiner .htaccess-Datei dieses hier stehen:
                    Options +MultiViews
                    Ansonsten steht nichts weiteres in meiner .htaccess-Datei.

                    Nun klappt das aber nicht 100%tig.

                    Der Aufruf von z.B. http://spaceart.de/_Test2/agb klappt.
                    Es wird dann die auf dem Server liegende Datei agb.htm angezeigt.
                    Es gibt bei mir auch nur eine einzige Datei mit dem Namen "agb".

                    Der Aufruf von z.B. http://spaceart.de/_Test2/warenkorb klappt nicht (error 404).
                    Dagegen klappt der Aufruf von http://spaceart.de/_Test2/warenkorb.php.
                    Auf dem Server liegt die Datei warenkorb.php
                    und es gibt keine weitere Datei mit dem Namen "Warenkorb".

                    Woran kann das denn nun wieder liegen?

                    PS: Ein URI ist kein Dateiname oder -ort, es ist ein Identifikator (eine Referenz) zu einer Ressource. [Content-Negotiation]

                    Was sagst Du denn zu dieser Argumentation:
                    https://forum.selfhtml.org/?t=127288&m=822007

                    Gruß
                    Ingo

                    1. Hi Ingo,

                      Der Aufruf von z.B. http://spaceart.de/_Test2/warenkorb klappt nicht (error 404).
                      Dagegen klappt der Aufruf von http://spaceart.de/_Test2/warenkorb.php.
                      Auf dem Server liegt die Datei warenkorb.php
                      und es gibt keine weitere Datei mit dem Namen "Warenkorb".

                      Woran kann das denn nun wieder liegen?

                      Ich weiß es auch nicht - aber deshalb habe ich einfach mal in Apache Manual geschaut und bin auf die Direktive MultiViewsMatch gestoßen (was die bewirkt kannst du ja selber nachlesen).

                      Ich würde es mal mit MultiViewsMatch Handlers probieren und im Zweifelsfall dann noch Any verwenden.

                      MfG, Dennis.

                      1. Hallo Ingo,

                        Apache Manual

                        Available in Apache 2.0.26 and later.

                        - also leider auch keine Lösung für Dich

                        Gruß aus Berlin!
                        eddi

                        1. Hi eddi,

                          • also leider auch keine Lösung für Dich

                          Für mich schon *g* Welchen Apache verwendet Ingo denn? Einen 1.3er?

                          MfG, Dennis.

                          1. Re:

                            sein Provider nutzt Apache 1.3.33.

                            Gruß aus Berlin!
                            eddi

  2. Hello out there!

    Ich würde gerne von Euch wissen, ob Ihr es für Sinnvoll haltet, PHP zu verstecken/verbergen.

    Ja, das tue ich. Allerdings nicht aus Sicherheitsgründen. Was geht es einen Nutzer an, welche serverseitigen Techniken die Webseite generieren?

    Mann kann ja z.B. per .htaccess-Datei dafür sorgen, dass alle .htm-Dateien durch PHP gepartst werden.

    Halte ich nicht für sinnvoll. Mann kann ja z.B. per .htaccess-Datei dafür sorgen, dass die Endung '.php' nach außen nicht sichtbar ist.

    Datei-Endungen wie '.html', '.shtml', '.php' mögen auf technischer Ebene sinnvoll sein, damit bspw. der Server weiß, wie er mit der Datei verfahren soll; aber auf menschlicher Ebene haben die nichts zu suchen. Ein URI sollte IMHO 'http://example.net/foo' lauten; nicht 'http://example.net/foo.html' oder 'http://example.net/foo.shtml' oder 'http://example.net/foo.php'. Es ist Aufgabe des Servers, bei Anfrage nach 'http://example.net/foo' die entsprechende Datei 'foo.html', 'foo.shtml' oder 'foo.php' zu finden und diese entsprechend zu verarbeiten.

    Hat auch den Vorteil, dass, wenn sich die verwendete Technik ändert, sich der URI der Ressource nicht ändert. (Cool links don’t change.)

    See ya up the road,
    Gunnar

    --
    “Remember, in the end, nobody wins unless everybody wins.” (Bruce Springsteen)
    1. Lieber Gunnar

      Ja, das tue ich. Allerdings nicht aus Sicherheitsgründen. Was geht es einen Nutzer an, welche serverseitigen Techniken die Webseite generieren?

      Naja, die meisten Nutzer wird es wohl eher so überhaupt nicht interessieren.
      Doch eher nur die Nutzer, und da sind wir dann doch wieder beim Thema Sicherheit,
      die irgendeinen Schabernack vorhaben.
      Oder siehst Du das anders?

      Halte ich nicht für sinnvoll. Mann kann ja z.B. per .htaccess-Datei dafür sorgen, dass die Endung '.php' nach außen nicht sichtbar ist.

      OK, das hört sich auch nicht uninteressant an.
      Ich glaube, die hier (http://www.billigertelefonieren.de/)
      machen das auch so in der Art, oder?

      Gruß
      Ingo

      1. Hallo,

        Ja, das tue ich. Allerdings nicht aus Sicherheitsgründen. Was geht es einen Nutzer an, welche serverseitigen Techniken die Webseite generieren?

        Naja, die meisten Nutzer wird es wohl eher so überhaupt nicht interessieren.
        Doch eher nur die Nutzer, und da sind wir dann doch wieder beim Thema Sicherheit,
        die irgendeinen Schabernack vorhaben.
        Oder siehst Du das anders?

        sagen wir mal so: Es ist zum verzweifeln! Ich such bei google nach "PHP Server" und will damit veröffentlichte Scripte finden, die Serverprogrammierung in PHP thematisieren.
        Da google so super heftig "schlau" ist auch die URI als Listungskriterium eine sehr hohe Priorität einzuräumen, bekomme ich nun alle Dokumente, die im Inhalt "Server" haben und auf ".php[?query]" enden, mitangezeigt.

        Daher bin ich hier Gunnars (und im Eigentlichen Jeenas) Auffassung einer sinnvollen Namensvergabe für URIs ohne Namenserweiterung sehr zugeneigt.

        Nun aber zu Deinen Bedenken sicherheitsorientierter Art: Schicke bitte dieses Formular ab und staune!
         Du kannst noch so viel an den Namenserweiterungen herumdrehen, wie Du willst - wer Dir schaden will, wird sein Handwerk verstehen und weiß, wo er zuerst suchen muß. Er wird sich ersteinmal die HTTP-Header ziehen...

        Halte ich nicht für sinnvoll. Mann kann ja z.B. per .htaccess-Datei dafür sorgen, dass die Endung '.php' nach außen nicht sichtbar ist.

        OK, das hört sich auch nicht uninteressant an.
        Ich glaube, die hier (http://www.billigertelefonieren.de/)
        machen das auch so in der Art, oder?

        Oder. Dort wurde lediglich das Projekt google-freundlich in Verzeichnisse gegliedert.

        Gruß aus Berlin!
        eddi

        1. Lieber eddi

          Da google so super heftig "schlau" ist auch die URI als Listungskriterium eine sehr hohe Priorität einzuräumen, bekomme ich nun alle Dokumente, die im Inhalt "Server" haben und auf ".php[?query]" enden, mitangezeigt.

          OK, verstehe. Das ist natürlich für Leite, die Unsinn vorhaben,
          dann ne feine Sache.

          Daher bin ich hier Gunnars (und im Eigentlichen Jeenas) Auffassung einer sinnvollen Namensvergabe für URIs ohne Namenserweiterung sehr zugeneigt.

          OK, damit würde ich mich dann demnächst gerne mal beschäftigen.
          Da ich aber der englischen Sprache nicht so sher mächtig bin,
          brauche ich da immer deutsche Hilfe.
          Hättest Du vielleicht eine Empfehlung für mich?
          Oder kannst Du mir einen Tipp geben, wonach ich Googeln muss?

          Nun aber zu Deinen Bedenken sicherheitsorientierter Art: Schicke bitte dieses Formular ab und staune!

          Habe ich mal gemacht.
          Aber ich muss gestehen, dass ich daraus nicht so richtig schlau werde.
          Du musst wissen, dass ich nicht so tief in der Materie bin, wie Ihr.
          Da merkt Ihr sicher auch immer an meiner laienhaften Art,
          solche Fragen zu stellen :)
          Falls Du Lust hat, mir das mit dem obigen Formular nochmal genauer
          zu erklären, würde ich mich sehr freuen.
          Aber wenn nicht, ist natürlich auch OK.
          Ich will Eure Geduld und Hilfsbereitschaft nun auch nicht
          zu sehr überstapazieren.

          Du kannst noch so viel an den Namenserweiterungen herumdrehen, wie Du willst - wer Dir schaden will, wird sein Handwerk verstehen und weiß, wo er zuerst suchen muß. Er wird sich ersteinmal die HTTP-Header ziehen...

          Ja, OK, das habe ich inzwischen wirklich verstanden.
          Ich habe meine 3 Formulare nun auch wieder in .php "umgetauft".
          Damit eben nicht ein böser Bube herausgefordert wird,
          weil dort was dynamischen passiert auf einer angeblichen
          .htm-Datei.

          link:http://www.billigertelefonieren.de/]
          Oder. Dort wurde lediglich das Projekt google-freundlich in Verzeichnisse gegliedert.

          Ach so.

          Gruß
          Ingo

          1. Hallo,

            Daher bin ich hier Gunnars (und im Eigentlichen Jeenas) Auffassung einer sinnvollen Namensvergabe für URIs ohne Namenserweiterung sehr zugeneigt.

            OK, damit würde ich mich dann demnächst gerne mal beschäftigen.
            Da ich aber der englischen Sprache nicht so sher mächtig bin,
            brauche ich da immer deutsche Hilfe.
            Hättest Du vielleicht eine Empfehlung für mich?

            zum einen kannst Du Dich mit mod_rewrite beschäftigen. Google: apache mod_rewrite howto

            Zum anderen kannst Du PHP selbst dazu nutzen. <http://forum.de.selfhtml.org/archiv/2004/8/t88045/#m524384@titel=archiv 88045> ff. archiv 76745 ff.

            Letztere Methode würde ich Dir sehr empfehlen, da sie nicht mehr elegant ist - nein - sie ist exzellent!

            Nun aber zu Deinen Bedenken sicherheitsorientierter Art: Schicke bitte dieses Formular ab und staune!

            Habe ich mal gemacht.
            Aber ich muss gestehen, dass ich daraus nicht so richtig schlau werde.
            Du musst wissen, dass ich nicht so tief in der Materie bin, wie Ihr.
            Da merkt Ihr sicher auch immer an meiner laienhaften Art,
            solche Fragen zu stellen :)

            Papelapap! Duckmäusern kannst Du, wenn Du Mist machst. Fragen sind kein Mist und genau hier (ins Forum) gehören sie hin!

            Falls Du Lust hat, mir das mit dem obigen Formular nochmal genauer
            zu erklären, würde ich mich sehr freuen.

            Browser und Webserver bedienen sich des HyperText Transfer Protokolls (HTTP RFC 2616); als einstig lesenswert ist der Artikel auf Wikipedia http://de.wikipedia.org/wiki/HTTP

            Nun zum Formular: Die dort erhobenen Daten werden für eine Anfrage an einen (in dem Fall Deinen) Server verwendet. Während bei üblichen Gebrauch eines Browsers die HTTP-Header nur für den Browser und den Server erheblich sind und daher vom User nicht zugängig gemacht werden, macht mein kleines Script genau das Gegenteil. Es zeigt ausschließlich die HTTP-Header.

            Du kannst noch so viel an den Namenserweiterungen herumdrehen, wie Du willst - wer Dir schaden will, wird sein Handwerk verstehen und weiß, wo er zuerst suchen muß. Er wird sich ersteinmal die HTTP-Header ziehen...

            Gruß aus Berlin!
            eddi

            1. Tach eddi

              zum einen kannst Du Dich mit mod_rewrite beschäftigen. Google: apache mod_rewrite howto

              OK, prima.
              Ich bin auch schon seit ca 1 Stunde hier am rumgoogeln nach
              mod-_rewrite. Aber das ist ja schon alles sehr umfangreich.
              Und den Teil für mein konkretes Anliegen (Dateiendungen auszublenden)
              da zu finden, ist für mich doch ziemlich schwierig :)
              Aber ich bleib weiter dran.

              Zum anderen kannst Du PHP selbst dazu nutzen. <http://forum.de.selfhtml.org/archiv/2004/8/t88045/#m524384@titel=archiv 88045> ff. archiv 76745 ff.

              Ui, das ist mir leider doch zur Zeit noch zu hoch.
              Ich würde das lieber doch mit mod_rewrite machen.

              Papelapap! Duckmäusern kannst Du, wenn Du Mist machst. Fragen sind kein Mist und genau hier (ins Forum) gehören sie hin!

              OK, prima.

              macht mein kleines Script genau das Gegenteil. Es zeigt ausschließlich die HTTP-Header.

              OK, das ist doch dann im Grunde das gleiche wie das hier, oder?

              Nun denn.
              Nach all Euren Ratschlägen scheint es mir doch inzwischen am sinnvollsten,
              dafür zu sorgen, dass einfach alle Dateinamenerweiterungen nicht angezeigt werden.

              Dass es also heist:
              http://spaceart.de/_Test2/index
              http://spaceart.de/_Test2/listen/modelle-science-fiction-fantasy-a
              http://spaceart.de/_Test2/geschenkgutscheine
              http://spaceart.de/_Test2/nr/kontakt-email
              u.s.w.

              Oder?

              Gruß
              Ingo

              1. Re:

                Zum anderen kannst Du PHP selbst dazu nutzen. <http://forum.de.selfhtml.org/archiv/2004/8/t88045/#m524384@titel=archiv 88045> ff. archiv 76745 ff.

                Ui, das ist mir leider doch zur Zeit noch zu hoch.
                Ich würde das lieber doch mit mod_rewrite machen.

                Gehässig, wie ich bin, werde ich Dir bei mod_rewrite nicht helfen. Auf Deinem Webspace wär die Methode mit PHP und PATH_INFO ohne weiteres möglich. Das habe ich bereits ausgetestet ;)

                Es liegt also an Dir.

                OK, das ist doch dann im Grunde das gleiche wie das hier, oder?

                Exakt.

                Gruß aus Berlin!
                eddi

                1. Lieber eddi

                  Gehässig, wie ich bin, werde ich Dir bei mod_rewrite nicht helfen. Auf Deinem Webspace wär die Methode mit PHP und PATH_INFO ohne weiteres möglich. Das habe ich bereits ausgetestet ;)

                  OK :-)
                  Aber mir ist das leider zu hoch ... sorry.
                  Da kann ich nicht mehr mithalten.

                  Ich bin eh schon am Überlegen, ob ich mein Vorhaben aufgebe.
                  Lies mal hier weiter und lass mich wissen, wie Du darüber denkst,
                  wenn Du magst: https://forum.selfhtml.org/?t=127288&m=822007

                  Gruß
                  Ingo

                  1. Hi Ingo,

                    Aber mir ist das leider zu hoch ... sorry.
                    Da kann ich nicht mehr mithalten.

                    Du kannst doch PHP, oder? Was soll dann bitte daran "zu hoch" sein? Lass es mich dir kurz erklären, mach einfach folgendes kleines PHP-Script:

                    <?php  
                    echo "Path-Info: " . $_SERVER['PATH_INFO'];  
                    ?>
                    

                    und speichere es als test.php auf dem Server ab.

                    Nun rufe das Script in deinem Webbrowser auf (einfach test.php), da wird für PATH_INFO nichts stehen. Dann rufe das Script mit test.php/foobar auf, und für PATH_INFO wird da /foobar stehen. Noch mal: Rufe das Script mit test.php/foobar/blabla auf und du wirst für PATH_INFO /foobar/blabla zu lesen bekommen.

                    So, das Prinzip ist klar, oder? Gut. ;-)

                    Jetzt die Frage, wie man das auswerten kann - du könntest PATH_INFO z.B. mittels explode() an den "/" auseinander nehmen und dir die einzelnen Teile davon anschauen. Oder - wenn du nur feste Werte verwenden willst - einfach mit if($_SERVER['PATH_INFO'] == "/foobar") { /* mache dies */ } prüfen und entsprechend drauf reagieren.

                    Kleines Beispiel aus der Praxis gefällig? Ok - schau dir mal das SELFHTML Forums Archiv an, wie sehen da die URLs aus? Du glaubst doch auch nicht im Ernst, dass da für jeden Thread ein Ordner mit einer index.html existiert, oder? *g*

                    Nun, auch da verwendet das ClassicForum PATH_INFO - es gibt in Wirklichkeit nur ein Archiv-Script, nämlich fo_arcview - dass du nirgendwo fo_arcview in der URL ließt, liegt daran, dass da zusätzlich noch mit mod_rewrite gebastelt wurde ;-)

                    MfG, Dennis.

          2. Hello out there!

            Daher bin ich hier Gunnars (und im Eigentlichen Jeenas) Auffassung einer sinnvollen Namensvergabe für URIs ohne Namenserweiterung sehr zugeneigt.

            Ich hab nicht abgeschrieben!!111 ;-)

            Hättest Du vielleicht eine Empfehlung für mich?

            Was spricht gegen das schon erwähnte 'Options +MultiViews' und fertig?

            Das in die .htaccess eingetragen und der Server liefert auf Anfrage nach 'http://example.net/foo' 'http://example.net/foo.html' aus (falls vorhanden). Oder 'http://example.net/foo.shtml' (falls vorhanden). Oder 'http://example.net/foo.php'(falls vorhanden).

            (Hätte man sowohl eine Datei 'foo.html' als auch eine Datei 'foo.php' ... im entsprechenden Verzeichnis, müsste man sicherstellen, dass die Prioritäten wie gewünscht sind. Aber man muss ja nicht mehrere Dateien 'foo.*' haben.)

            Da merkt Ihr sicher auch immer an meiner laienhaften Art, solche Fragen zu stellen :)

            Also wenn deine Fragen laienhafter Art sind, dann sind viele andere Fragen hier auf dem Niveau von Idiotie. ;-)

            Ich freue mich über jeden Thread, wo ich aus den Antworten der anderen (evtl. sogar schon aus den Fragen) dazulernen kann. Deine sind oft solche.

            See ya up the road,
            Gunnar

            --
            “Remember, in the end, nobody wins unless everybody wins.” (Bruce Springsteen)
            1. Tach Gunnar

              Was spricht gegen das schon erwähnte 'Options +MultiViews' und fertig?

              Das in die .htaccess eingetragen und der Server liefert auf Anfrage nach 'http://example.net/foo' 'http://example.net/foo.html' aus (falls vorhanden). Oder 'http://example.net/foo.shtml' (falls vorhanden). Oder 'http://example.net/foo.php'(falls vorhanden).

              Ja, das klingt ja noch interessanter.
              Das ist doch im Grunde ganz genau, dass, was ich erreichen möchte.

              Wie verhält es sich denn, wenn auf meinem Server die Datei
              'http://example.net/foo.htm' vorhanden ist, der User aber
              'http://example.net/foo.html' im Browser eintippt?

              Bei Jeena ist es prima gelöst, finde ich.
              Intern wird z.B. verlinkt auf http://jeenaparadies.net/webdesign/referenzen
              Aber auf folgende Aufrufe führen zur gleichen Resource:
              http://jeenaparadies.net/webdesign/referenzen.htm
              http://jeenaparadies.net/webdesign/referenzen.php
              http://jeenaparadies.net/webdesign/referenzen.trallalla
              Das scheint mir doch sehr sinnvoll.
              Damit kommen auch die User zum gewünschten Ziel, die
              notorisch immer ein ".html" oder so, an alle URLs anhängen.
              (Solls wirklich geben)

              Also wenn deine Fragen laienhafter Art sind, dann sind viele andere Fragen hier auf dem Niveau von Idiotie. ;-)

              :))

              Ich freue mich über jeden Thread, wo ich aus den Antworten der anderen (evtl. sogar schon aus den Fragen) dazulernen kann. Deine sind oft solche.

              OK, freut mich doch sehr, Dir noch was beibringen zu können
              (indirekt jedenfalls).  Nee, nur ein kleiner Schwertz zum Sonntag.

              Gruß
              Ingo

            2. Hallo,

              Was spricht gegen das schon erwähnte 'Options +MultiViews' und fertig?

              dazu möchte ich, insbesondere bezogen auf das ursprüngliche Ansinnen für Sicherheit zu sorgen, aber anmerken, das hierbei ebenso HTTP-Header generiert werden, die für Angreifer ebenso auswertbar sind:

              Responseheader:

              Content-Location: index.php
              Vary: negotiate
              TCN: choice

              Also wird auch hierbeit einem Angreifer ersichtlich, daß PHP genutzt wird. Dies ist nur als Hinweis gedacht, denn dies ließe sich z. B. mit AddHandler/AddType/ForceType relativ einfach ändern.

              Gruß aus Berlin!
              eddi

      2. Hi,

        Doch eher nur die Nutzer, und da sind wir dann doch wieder beim Thema Sicherheit,
        die irgendeinen Schabernack vorhaben.
        Oder siehst Du das anders?

        Egal wie die Dateiendung ist: PHP schickt seine Kennung im HTTP-Header mit - für jeden sichtbar!

        Das muß man dann schon explizit deaktivieren, was aber ein Standard-Shared-Hoster wohl nicht extra für dich machen wird.

        Gruß, Cybaer

        --
        Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
        1. Lieber Cybaer

          Egal wie die Dateiendung ist: PHP schickt seine Kennung im HTTP-Header mit - für jeden sichtbar!

          Das muß man dann schon explizit deaktivieren, was aber ein Standard-Shared-Hoster wohl nicht extra für dich machen wird.

          OK, ich verstehe.
          Deswegen habe ich dieses Vorhaben, meine PHP-Dateien als
          HTM-Dateien zu "tarnen" inzwischen auch aufgegeben.
          Ich habe nun alle Dateien, in denen PHP zur Anwendung kommt,
          auch mit der Dateiendung .php versehen.

          Somit versuche ich also nun nichts mehr zu verbergen
          und es macht somit dann eben auch keinen unseriösen Eindruck mehr.

          Was meinst Du?

          Gruß
          Ingo

          1. Hi,

            Somit versuche ich also nun nichts mehr zu verbergen
            und es macht somit dann eben auch keinen unseriösen Eindruck mehr.

            Was meinst Du?

            Also ich habe nichts gegen .php. ;-)

            Aber es kommt auch vor, daß ich die Endung "tarne" (besser: "vereinheitliche") - und dann als .htm(l). Wichtig ist ja ohnehin nur, was hinten rauskommt. ;-) Das mache ich allerdings nicht aus "Sicherheitsgründen", sondern nur der Optik wegen, bzw. wenn ich mir die Technik offenhalten möchte, mit der die Seiten generiert werden, bzw. die Seiten auch für lokalen Betrieb gedacht sind (also von Festplatte oder CD-ROM).

            Gruß, Cybaer

            --
            Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
            1. Hi Cybaer

              Also ich habe nichts gegen .php. ;-)

              Aber es kommt auch vor, daß ich die Endung "tarne" (besser: "vereinheitliche") - und dann als .htm(l). Wichtig ist ja ohnehin nur, was hinten rauskommt. ;-) Das mache ich allerdings nicht aus "Sicherheitsgründen", sondern nur der Optik wegen, bzw. wenn ich mir die Technik offenhalten möchte, mit der die Seiten generiert werden, bzw. die Seiten auch für lokalen Betrieb gedacht sind (also von Festplatte oder CD-ROM).

              OK, ich verstehe.

              Man glaubt garnicht, mit was für DAUs man bei solchen Überlegungen
              zu tun bekommt :)

              Und da ich auf meiner Seite natürlich so weinig User wie möglich
              "aussperren"/"abschrecken"/"verunsichern" will,
              ist es vielleicht doch am besten, auf die klassische
              (und auch dem Anfänger gewohnte) Anzeigeform mit Dateiendung
              zu setzen, denke ich (inzwischen).

              Gruß
              Ingo

              1. Hi,

                Man glaubt garnicht, mit was für DAUs man bei solchen Überlegungen
                zu tun bekommt :)

                Ich glaub's sofort! 8-)

                ist es vielleicht doch am besten, auf die klassische
                (und auch dem Anfänger gewohnte) Anzeigeform mit Dateiendung
                zu setzen, denke ich (inzwischen).

                Wie Du magst - Nachteile sehe ich jedenfalls keine (außer, daß man es dem Server beibringen muß). Aber prinzipiell würde ich .php durchaus zu den (auch für den Anfänger) gewohnten Dateiendungen zählen. =;-)

                Gruß, Cybaer

                --
                Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
                1. Lieber Cybaer

                  Ich glaub's sofort! 8-)

                  Hehehe :-))

                  Wie Du magst - Nachteile sehe ich jedenfalls keine (außer, daß man es dem Server beibringen muß). Aber prinzipiell würde ich .php durchaus zu den (auch für den Anfänger) gewohnten Dateiendungen zählen. =;-)

                  Ja, ich denke auch.

                  Gruß
                  Ingo

        2. Hallo Cybaer.

          Egal wie die Dateiendung ist: PHP schickt seine Kennung im HTTP-Header mit - für jeden sichtbar!

          Was nichts daran ändert, dass man diese Kennung per header-Befehl überschreiben kann. (Ob unter allen Umständen, weiß ich nicht.)

          Einen schönen Montag noch.

          Gruß, Ashura

          --
          sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
          „It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
          [HTML Design Constraints: Logical Markup]
          1. Hi,

            Was nichts daran ändert, dass man diese Kennung per header-Befehl überschreiben kann. (Ob unter allen Umständen, weiß ich nicht.)

            Hmm, welche serverseitigen Scriptsprachen senden denn noch ein "X-Powered-By" mit, dessen Wert man überschreiben, dessen Auslieferung man aber, ohne Zugriff auf die Serverkonfiguration, nicht verhindern kann? ;-)

            Also wenn ich das so im Header sehen würde, dann würde *ich* doch spontan denken: Och guck. Da hat einer PHP-Seiten, und den Header nicht ändern können ... >;-)

            Oder anders: Sieht aus wie'n Auto, stinkt wie'n Auto, da ist es dann auch egal, ob ich noch "Auto" draufschreibe. ;)

            Gruß, Cybaer

            --
            Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
            1. Hi Cybaer,

              Also wenn ich das so im Header sehen würde, dann würde *ich* doch spontan denken: Och guck. Da hat einer PHP-Seiten, und den Header nicht ändern können ... >;-)

              Auch wenn du im Prinzip natürlich Recht hast - es gibt auch noch andere Software, die ein X-Powered-By  versendet, z.B. schicke ich bei größerern Web-Applikationen immer noch ein X-Powered-By: <Applikation>  mit ;-)

              Abgesehen davon sollte man mit mod_headers das X-Powered-By auch wieder löschen können:
              [link:http://httpd.apache.org/docs/2.0/mod/mod_headers.html#header@title=Header] unset "X-Powered-By"

              MfG, Dennis.

    2. Hi,

      Hat auch den Vorteil, dass, wenn sich die verwendete Technik ändert, sich der URI der Ressource nicht ändert. (Cool links don’t change.)

      Also wenn sich die verwendete Servertechnik ändert (z.B. hin zum Windows/IIS), landest Du damit ggf. gleichfalls auf der Schnauze.

      So einfach/sinnvoll ist es nun auch wieder nicht ...

      Gruß, Cybaer

      --
      Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
      1. Tavj Cybaer

        So einfach/sinnvoll ist es nun auch wieder nicht ...

        Hehe, endlich mal jemand, der mich versteht :)

        Gruß
        Ingo

  3. Hallo an alle nochmal

    Erstmal möchte ich mich für Eure Mühe bedanken,
    mir bei meinem Anliegen so ausführlich zu helfen.

    Mir scheint es nun am sinnvollsten zu sein,
    sämtliche Dateinamenerweiterungen der Dateien
    meiner Website auszublenden.

    Nun habe ich versucht, über Google was passendes zu finden,
    wo ich mich da mal einlesen kann (in deutscher Sprache).
    Aber irgendwie bin ich noch nicht so richtig fündig geworden.

    Hat jemand von Euch vielleicht einen entsprechenden Tipp für mich?
    Gruß
    Ingo

    1. hi,

      Mir scheint es nun am sinnvollsten zu sein,
      sämtliche Dateinamenerweiterungen der Dateien
      meiner Website auszublenden.

      Zwei m.E. recht einfache Möglichkeiten (Apache vorausgesetzt):

      Du aktivierst bei den Options MultiViews.
      Damit sucht dein Apache, wenn nur /blah angefordert wurde, nach "ähnlichen" Dateien - er würde also /blah.php finden, und ausliefern.
      Allerdings kommst du damit leicht in die Bedrouille, wenn es beispielsweise auch /blah.htm oder /blah.jpg geben würde.

      Andere Möglichkeit, du nennst deine Scriptdatei wirklich nur /blah - und sorgst dann per <Files>-Direktive und ForceType dafür, dass der Apache diese Datei als PHP-Datei behandelt.

      <Files blah>
      ForceType application/x-httpd-php
      </Files>

      gruß,
      wahsaga

      --
      /voodoo.css:
      #GeorgeWBush { position:absolute; bottom:-6ft; }
      1. Hallo

        Ich bin am Überlegen, ob ich das ganze Vorhaben, die Dateinamenerweiterungen
        zu verbergen, nicht doch wieder aufgeben sollte.

        Erstens weil mir das doch alles etwas zu kompliziert ist.

        Und zweitens habe ich gerade noch ein gutes Argument gehört,
        was dagegen spricht:
        Man könnte bei URLs wie http://example.org/foo/foo2
        evtl. den Verdacht bekommen, dass einem da eatwas verschleiret werden soll.
        Bzw. dass es vielleicht ein Versuch ist, einem etwas "unterzuschieben".

        Ich finde dieses Argument nicht ganz von der Hand zu weisen.
        OK, OK, andererseits könnte ein unerfahrener User auch
        bei sowas wie .php als Endung auf solche Gedanken kommen.

        Vielleicht ist es doch besser, einfach sozusagen wieder
        "back to the Roots" zu gehen, und den Dateien eben genau
        die Endung zu verpassen, denen sie auch entsprechen.
        Und diese dann eben auch für jedermann sichtbar.

        So braucht sich niemand über nicht übereinstimmende
        Header/Dateiendungs-Kombinationen zu wundern.
        Oder über dynamisch reagierende "angebliche" .htm-Dateien.

        Und für mich als Laien hätte es den Vorteil, dass ich
        nicht verzweifelt weiter versuchen müsste, tiefer in die
        Materie der Servereinstellungen usw. einzusteigen :)
        Und meine Liebste hätte auc wieder mal was von mit ;-))

        Unterm Strich finde ich die Argumente zwar nachvollziehbar,
        dass die Dateiart in einer URL eigentlich nicht unbedingt was zu suchen hat.
        Aber dem unversierten User ist es sicherlich eh egal.
        Und der Profi-User wird sich eh zu helfen wissen,
        wenn er z.B. ein böser Bube ist.

        Was meint Ihr?

        Gruß
        Ingo

        1. Hallo.

          Unterm Strich finde ich die Argumente zwar nachvollziehbar,
          dass die Dateiart in einer URL eigentlich nicht unbedingt was zu suchen hat.
          Aber dem unversierten User ist es sicherlich eh egal.

          Wie in anderen Diskussionen zu diesem Thema bereits deutlich geworden ist, gibt es unterschiedliche Stufen, Formen und Ausprägungen von "unversiert", was die Entscheidungsfindung nicht eben beschleunigt.
          MfG, at

          1. Hallo at

            Wie in anderen Diskussionen zu diesem Thema bereits deutlich geworden ist, gibt es unterschiedliche Stufen, Formen und Ausprägungen von "unversiert", was die Entscheidungsfindung nicht eben beschleunigt.

            Yep.

            Ich habe nun erstmal allen Dateien meiner Webseite die Dateiendung
            ".php" gegeben, weil ja in allen Dateien PHP zur Anwendung kommt.
            Somit wird da also nun nichts mehr vorgetäuscht, was durch
            das Leseh der dateiheader ja eh "aufgeflogen" wäre.

            Nun habe ich aber ein Problem mit Options +MultiViews.
            Ich habe das genau so in meine .htaccess-Datei geschrieben.
            Demnach müsste sich doch die Seite http://spaceart.de/_Test2/agb.php
            nun auch unter http://spaceart.de/_Test2/agb aufrufen lassen.
            Aber leider will das nicht funktionieren.

            Eine Idee, woran das liegen könnte?
            Gruß
            Ingo

            1. Hallo,

              Nun habe ich aber ein Problem mit Options +MultiViews.
              Ich habe das genau so in meine .htaccess-Datei geschrieben.
              Demnach müsste sich doch die Seite http://spaceart.de/_Test2/agb.php
              nun auch unter http://spaceart.de/_Test2/agb aufrufen lassen.
              Aber leider will das nicht funktionieren.

              wie zu sehen ist wird das Dokument gefunden, aber ich werden aus dem Status nicht schlau.
              Sind alle Dokumente von Deinem Projekt PHP-Script?

              Gruß aus Berlin!
              eddi

              1. Tach eddi

                ... aber ich werden aus dem Status nicht schlau.
                Sind alle Dokumente von Deinem Projekt PHP-Script?

                Ja, sorry, ich habe da das inzwischen geändert.
                Da in allen meinem statischen Seiten (also ohne Datenbank usw),
                etwas PHP zur Anwedung kommt, habe ich nun allen Dateien
                die Dateieindung .php gegeben.

                Dann muss ich mich nicht mit Tricksereien rumschlagen,
                diese mit speziellen .htaccess-Anweisungen durch den PHP-Parser
                zu "schicken" (wenn sie die Da´teiendung .htm haben).

                Nun ist der Stand also so, dass die Dateien eben alle die
                "richtigen" Dateiendungen haben (also .php),
                und somit stimmen nun auch Dateiendung und Header überein.

                Nun überlege ich halt einfach noch, ob ich die Dateiendungen
                meiner Website generell "ausblenden" lasse, so wie es mir hier
                ja von Euch schon mehrfach empfohen wurde.

                Dann hätte ich ja im Grunde mein ursprüngliches Anliegen erreicht,
                aus Sicherheitsgründen niemendem zu verraten,
                was ich für serverseitige Techniken einsetze.
                Wobei ich gestern auch diesbezüglich schon wieder ein gutes
                Aegument gehört habe, Dateierweiterungen doch lieber anzuzeigen.
                das Argument besagte, dass man vielleicht als User misstrauisch werden könnte,
                wenn da kein dateiname steht, auf einer bösen exe-Datei oder so zu landen.

                Deswegen bin ich ja inzwischen eh schon am überlegen, ob ich
                mein Vorhaben, da was zu verbergen, nicht lieber eh ganz lassen sollte.

                Was meinst Du?
                Gruß
                Ingo

                1. tachchen,

                  Nun überlege ich halt einfach noch, ob ich die Dateiendungen
                  meiner Website generell "ausblenden" lasse, so wie es mir hier
                  ja von Euch schon mehrfach empfohen wurde.

                  Überleg nicht lange; mach! :) [http://forum.de.selfhtml.org/my/?t=127288&m=822232]

                  Wobei ich gestern auch diesbezüglich schon wieder ein gutes
                  Aegument gehört habe, Dateierweiterungen doch lieber anzuzeigen.
                  das Argument besagte, dass man vielleicht als User misstrauisch werden könnte,
                  wenn da kein dateiname steht, auf einer bösen exe-Datei oder so zu landen.

                  Ich habe es auch gelesen. Entschuldige, aber das ist kein Argument gewesen.

                  Gruß aus Berlin!
                  eddi

                  1. Lieber eddi

                    Überleg nicht lange; mach! :) [http://forum.de.selfhtml.org/my/?t=127288&m=822232]

                    OK, ich Danke Dir sehr für Deine dortigen Ausführungen.
                    Du schreibst, ich könne doch PHO ...
                    Naja, aber das ist ja gerade das Problem.
                    Ich kann gerade so die alerersten Anfänge von PHP,
                    bin also ein echter PHP-Anfänger, so dass mir das von Dir
                    beschriebene doch noch etwas zu hoch ist.
                    Ich werde aber versuchen, mich damit noch einmal genauer zu befassen.

                    Ich habe es auch gelesen. Entschuldige, aber das ist kein Argument gewesen.

                    Doch, warum soll das denn kein Argument sein.
                    Wenn es solche User tatsächlich gibt, die dn dann bei Links
                    ohne erkennbare Dateiart skeptisch werden und lieber nicht draufklicken,
                    kann man das doch ruhig berücksichtigen, bei seinen Überlegungen.

                    Gruß
                    Ingo

                    1. Hello out there!

                      Wenn es solche User tatsächlich gibt, die dn dann bei Links
                      ohne erkennbare Dateiart skeptisch werden und lieber nicht draufklicken,

                      Du denkst wirklich, solche gibt es?

                      Du rätst also davon ab, auf http://example.net/foo/index.html verkürzt als
                      http://example.net/foo zu referenzieren?

                      See ya up the road,
                      Gunnar

                      --
                      “Remember, in the end, nobody wins unless everybody wins.” (Bruce Springsteen)
                      1. Hi,

                        Du rätst also davon ab, auf http://example.net/foo/index.html verkürzt als
                        http://example.net/foo zu referenzieren?

                        Wie, hier werden falsche Tips gegeben? =;-)

                        -> http://example.net/foo/

                        Gruß, Cybaer

                        --
                        Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
                        1. Hello out there!

                          Wie, hier werden falsche Tips gegeben? =;-)
                          -> http://example.net/foo/

                          Grmpf, sowas musste ja kommen. Hätte ich in einer Fußnote gleich erwähnen sollen, dass es mir hier um URIs geht, die für Menschen am besten sind, nicht für Maschinen. Und da ist '/' am Ende genauso unnütz wie Datei-Endungen.

                          Ich weiß, dass das Fehlen des '/' zusätzlichen Traffic bedeutet, wenn nicht serverseitig dagegen etwas unternommen wird. Was man ja durchaus tun könnte, wenn man Wert auf URIs ohne schließendes '/' legt.

                          Doch wie ich vor ein paar Tagen schonmal sagte: URIs sind ein _technisches_ Konzept zur Refenzierung von Ressourcen. Ein _menschliches_ Konzept sind Links – mit für Menschen gemachten Linktiteln. [http://forum.de.selfhtml.org/archiv/2006/3/t126765/#m818461]

                          See ya up the road,
                          Gunnar

                          --
                          “Remember, in the end, nobody wins unless everybody wins.” (Bruce Springsteen)
                          1. Hi,

                            Ich weiß, dass das Fehlen des '/' zusätzlichen Traffic bedeutet,

                            Und ich weiß, daß Du es wußtest ;-), allerdings ...

                            Doch wie ich vor ein paar Tagen schonmal sagte: URIs sind ein _technisches_ Konzept zur Refenzierung von Ressourcen. Ein _menschliches_ Konzept sind Links – mit für Menschen gemachten Linktiteln. [http://forum.de.selfhtml.org/archiv/2006/3/t126765/#m818461]

                            ... muß sich ein Mensch ggf. den URL merken, da es ihm wenig hilft, sich den Linktext gemerkt zu haben. =;-)

                            Insofern finde ich es schön, daß bei http://example.net/foo & http://example.net/foo/ & http://example.net/foo/index.html letztlich ggf. immer das gleiche kommt, aber wenn man den URL wirklich nur als technische Konzept betrachtet, dann wäre stattdessen ja auch ein z.B. <a href="http://example.net/?id=1">foo</a> gleich gut. Daß es das, aus mehreren Gründen, nicht ist, wissen wir ja auch beide. ;)

                            Gruß, Cybaer

                            --
                            Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
                      2. Lieber Gunnar

                        Du denkst wirklich, solche gibt es?

                        Hätte ich nicht gedacht, aber ich ahbe gestern mit 2 Usern
                        per E-Mail Kontakt gehabt, die mir das genau so gesagt haben.
                        Ich habe denen das auch nicht vorher "in den Mund gelegt".
                        Die haben diese Bedenken von sich heraus geäussert.

                        Du rätst also davon ab, auf http://example.net/foo/index.html verkürzt als
                        http://example.net/foo zu referenzieren?

                        Ne, ich bin eben erst gestern durch diese beiden User
                        überhaupt darauf gekommen, über diesen Aspekt mal nachzudenken?

                        Gruß
                        Ingo

                    2. Hi,

                      Doch, warum soll das denn kein Argument sein.
                      Wenn es solche User tatsächlich gibt, die dn dann bei Links
                      ohne erkennbare Dateiart skeptisch werden und lieber nicht draufklicken,

                      Dann sollten diese User *schleunigst* lernen, daß im Internet die vermeintliche Extension einer vermeintlichen Datei überhaupt nichts aussagt - noch nicht mal, daß eine solche Datei auf dem Server überhaupt existiert. Wie ein Request abgehandelt wird, ist für den User schlicht nicht zu prognostizieren.

                      Gruß, Cybaer

                      --
                      Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
                      1. Tach

                        Dann sollten diese User *schleunigst* lernen, daß im Internet die vermeintliche Extension einer vermeintlichen Datei überhaupt nichts aussagt - noch nicht mal, daß eine solche Datei auf dem Server überhaupt existiert. Wie ein Request abgehandelt wird, ist für den User schlicht nicht zu prognostizieren.

                        Tja, das erkläre denen mal ;-)
                        Aber wenn es soche Heinis eben nun mal gibt?
                        Wass soll man da machen.
                        Es kann ja dann auch für mich als Seitenbetreiber keinen
                        Sinn machen, solche User "auszusperren".
                        Vor allem nicht, wenn sie vielleicht was kaufen wollen :)

                        Gruß
                        Ingo

                        1. Hi,

                          Dann sollten diese User *schleunigst* lernen, daß im Internet die vermeintliche Extension einer vermeintlichen Datei überhaupt nichts aussagt - noch nicht mal, daß eine solche Datei auf dem Server überhaupt existiert. Wie ein Request abgehandelt wird, ist für den User schlicht nicht zu prognostizieren.
                          Tja, das erkläre denen mal ;-)

                          Na ja, muß ja normalerweise nicht sein. Jeder kann sich (bzw. seinen PC) mangels Wissen hinrichten, wie er mag. ;->

                          Aber natürlich enden auch bei mir downloadbare "ZIP-Archive" hinten auf .zip - selbst wenn es physikalisch gar keine ZIP-Datei gibt.

                          Vor allem nicht, wenn sie vielleicht was kaufen wollen :)

                          Im Zweifel heißt halt alles an normalem Content .html - inkl. Paramter. Also z.B. http://www.example.com/shop/tolles_produkt.html - wobei "shop" dann das (PHP-)Script ist und "tolles produkt" zwei Suchbegriffe sind, anhand derer "shop" die passende Seite on-the-fly holt/erzeugt. Dann sind die "unbedarften" Kunden zufrieden, die Suchmachinen auch - und wenn sich Kunde und Suchmaschinen freuen, dann freut sich auch der Händler. ;-))

                          Gruß, Cybaer

                          --
                          Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
                          1. Tach

                            Na ja, muß ja normalerweise nicht sein. Jeder kann sich (bzw. seinen PC) mangels Wissen hinrichten, wie er mag. ;->

                            Yep :)

                            Im Zweifel heißt halt alles an normalem Content .html - inkl. Paramter. Also z.B. http://www.example.com/shop/tolles_produkt.html - wobei "shop" dann das (PHP-)Script ist und "tolles produkt" zwei Suchbegriffe sind, anhand derer "shop" die passende Seite on-the-fly holt/erzeugt. Dann sind die "unbedarften" Kunden zufrieden, die Suchmachinen auch - und wenn sich Kunde und Suchmaschinen freuen, dann freut sich auch der Händler. ;-))

                            OK, ich werd mal sehen, wie ichs dann mache.
                            Danke nochmal für Deine und Eure Hilfe.

                            Gruß
                            Ingo

                2. Heißa, Ingo,

                  Wobei ich gestern auch diesbezüglich schon wieder ein gutes
                  Aegument gehört habe, Dateierweiterungen doch lieber anzuzeigen.
                  das Argument besagte, dass man vielleicht als User misstrauisch werden könnte,
                  wenn da kein dateiname steht, auf einer bösen exe-Datei oder so zu landen.

                  Woher soll ein Benutzer, der nicht weiß, dass Dateiendungen gar nichts zu sagen haben, bitte wissen, was eine exe-Datei ist? Soweit ich weiß schneidet Windows standardmäßig in Dateinamen alles ab dem letzten Punkt ab, die Benutzer dürften es also nicht anders gewohnt sein.

                  Gautera!
                  Grüße aus Biberach Riss,
                  Candid Dauth

                  --
                  Ein Fußball-Fan? Noch auf der Suche eine Schlafmöglichkeit im Großraum Stuttgart für die WM 2006? Wie wäre es mit Herrenberg, einer gemütlichen Kleinstadt am Rande des Schönbuchs – von der Lage her ideal, auch für andere Vorhaben im Urlaub. Ferienwohnungen-Herrenberg.com.
                  http://cdauth.de/
                  1. Hi :)

                    Woher soll ein Benutzer, der nicht weiß, dass Dateiendungen gar nichts zu sagen haben, bitte wissen, was eine exe-Datei ist? Soweit ich weiß schneidet Windows standardmäßig in Dateinamen alles ab dem letzten Punkt ab, die Benutzer dürften es also nicht anders gewohnt sein.

                    Naja, es gibt natürlich für ale Evantualitäten auch "den Nutzer".
                    Will sageb, es lässt sich anscheinend für jede Dämlichkeit
                    auch eine Gruppe von Nutzern finden, die diese Dämlickiet pflegt :)

                    Und eben diese ganzen Evantualitäten sozusagen "abzufangen", ist mein Anliegen.

                    Gruß
                    Ingo

                    1. Heißa, Ingo,

                      Naja, es gibt natürlich für ale Evantualitäten auch "den Nutzer".
                      Will sageb, es lässt sich anscheinend für jede Dämlichkeit
                      auch eine Gruppe von Nutzern finden, die diese Dämlickiet pflegt :)
                      Und eben diese ganzen Evantualitäten sozusagen "abzufangen", ist mein Anliegen.

                      Hehe, dann kommt Bio und sieht, dass es sich um PHP handelt. PHP sei etwas für pubertierende Jünglinge, und er geht wieder. ;-)

                      Gautera!
                      Grüße aus Biberach Riss,
                      Candid Dauth

                      --
                      Ein Fußball-Fan? Noch auf der Suche eine Schlafmöglichkeit im Großraum Stuttgart für die WM 2006? Wie wäre es mit Herrenberg, einer gemütlichen Kleinstadt am Rande des Schönbuchs – von der Lage her ideal, auch für andere Vorhaben im Urlaub. Ferienwohnungen-Herrenberg.com.
                      http://cdauth.de/
                      1. Tach

                        Hehe, dann kommt Bio und sieht, dass es sich um PHP handelt.
                        PHP sei etwas für pubertierende Jünglinge, und er geht wieder. ;-)

                        Hehehehe :)

                        Gruß
                        Ingo

                    2. Hallo.

                      Und eben diese ganzen Evantualitäten sozusagen "abzufangen", ist mein Anliegen.

                      Dann ist doch eigentlich egal, mit welcher Methode du scheitern wirst.
                      MfG, at

                      1. Lieber at

                        Dann ist doch eigentlich egal, mit welcher Methode du scheitern wirst.

                        Ja, da sagts Du was ;-)
                        Deswegen habe ich mich auch erstmal entschieden,
                        da nix vorzuteuschen, zu verbergen oder sonstwas.
                        Sondern eben alle URLs und Dateien genau so zu lassen,
                        wie sie auch "in wirlichkeit" sind.

                        Gruß
                        Ingo