Sicherheitsproblem
0 1 
molily
0
Sicherheitsproblem
Hi!
Ich habe gestern ein gröberes Sicherheitsproblem auf meinem Webspace festgestellt. Ich habe das phpBB2-Forum installiert und es funktioniert auch wunderbar.
Aus irgendeinem Grund fiel gestern für einige Minuten der PHP-Parser aus und Apache2 meinte nun, dass die php-Dateien heruntergeladen werden können. (Auch config.php mit dem plaintext-Passwort)
Als PHP wieder funktionierte erscheint beim ansurfen von index.php natürlich wieder ganz normal die Page und man kann es nicht mehr herunterladen.
Gibt es eine Möglichkeit sich mittels htaccess dagegen zu schützen? Meines Wissens nicht, da man dann ja immer ein Passwort für das ansurfen der Homepage eingeben müsste oder?
Vielen Dank für eure Hilfe, Gernot
-
Hallo Gernot,
Gibt es eine Möglichkeit sich mittels htaccess dagegen zu schützen?
ja klar. Du kannst jederzeit ein <?php include(); ?> aus einem mittels htaccess geschützen Verzeichnis einbauen. Es wird nur der Zugriff über http eingeschränkt. php greift ja über das Dateisystem zu.
Grüße,
Jochen
-
Hallo,
ja klar. Du kannst jederzeit ein <?php include(); ?> aus einem mittels htaccess geschützen Verzeichnis einbauen.
Besser: Du kannst jederzeit ein include() einbauen, das eine Datei einbindet, die *außerhalb des Document-Roots* des Webservers liegt, also bei einem Ausfall dieser Sicherungsmechanismen überhaupt nicht gefährdet ist (außer, jemand schleust Code ein).
Mathias
-
Hi!
Erst mal vielen Dank für eure Antworten, aber das würde ja bedeuten, dass ich etwas im phpBB2-Code umschreiben müsste, weil bei denen tatsächlich die config.php im gleichen Verzeichnis wie die index.php liegt.
Außer ich schütze mittels htaccess eben nur die config.php!-
Hallo Gernot,
Außer ich schütze mittels htaccess eben nur die config.php
ich kenne weder den phpBB2-Code, noch deine Programmierfähigkeiten. Wenn die Passwörter bereits in "config.php" ausgelagert sind ist das dann vermutlich die unkomplizierteste Änderung für dich.
Du weist wie es geht? Zum nachlesen unter dem Punkt: Erweiterte Möglichkeiten; Schutz auf bestimmte Dateien einschränken.
Grüße,
Jochen
-
Hallo, das mit dem Programmieren wäre kein Problem, das kann ich (hoffe ich zumindest ;)
Ich meine nur, dass ich nicht zu viel im Code ändern will und wer weiß wo und wie oft die config.php included wird.
Danke für den Link, ich werd es mal mit dem htaccess versuchen. Gibts irgendwelche Tools, die eine Website eigentlich auf "Angriffsfläche" überprüfen?
Danke, Gernot
-
Hey Leute, ich hab ein tolles Dokument gefunden, welches die Sicherheitsfragen klärt:
http://www.phpbb.de/doku/kb/artikel.php?artikel=36Danke für eure Bemühungen und ich hoffe, dass ich mit diesem Link auch anderen eine Freude machen kann!
-
Ich grüsse den Cosmos,
Ich meine nur, dass ich nicht zu viel im Code ändern will und wer weiß wo und wie oft die config.php included wird.
Ist ja auch völlig unwichtig. Du ersetzt alles in der config.php durch ein include, das die eigentlich Config einbindet, die ausserhalb des docroot liegt.
Dann kannst du dieses System nach jedem Update weiter nutzen.Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)
-
-
-
-
-
-
Gibt es eine Möglichkeit sich mittels htaccess dagegen zu schützen?
Für den Zugriff auf solche sensiblen Daten sollte man sich authentifizieren müssen:
http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutzSiechfred
--
Ich bin strenggenommen auch nur interessierter Laie. (molily)