Tach,

Aus der Apache-Doku: „The default was changed from All to FollowSymlinks in 2.3.11“.

Mag sein, dass dieses die Voreinstellung ist, wenn man nichts angibt. Nur, wenn ich mir einen Apache installiere, dann steht in den mitgelieferten Konfig-Dateien meiner Erinnerung nach stets

Options none

nö, habe gerade nochmal in die die Sourcen geschaut, Apache selber liefert „Options Indexes FollowSymLinks“ aus; in Debian ist es „Options Indexes FollowSymLinks MultiViews“. Kann also höchstens an der Distri liegen, die du nutzt.

Das darf kein Grund für schlechtere Sicherheit sein und wäre ernsthaft eine lächerliche Microoptimierung.

So ganz "mikro" wird das wohl nicht sein wenn täglich ein paar Millionen Mal auf einem derart großen Server (da sind zigtausend vhosts drauf) wie von Strato diverse Pfade abgehechelt und auf Links untersucht werden.

Das ist und bleibt Micro, ich bin mir sicher, dass man an anderen Stellen deutlich mehr einsparen könnte. Da die Abfrage eh die Sicherheit nicht wesentlich erhöht, könnte man stattdessen auch auf des deutlich ressourcenschonendere Setzen einer Konstante zurückgreifen:

// index.php
define('INCLUDES_GO', true);
include 'include.php';

// include.php
if(!defined('INCLUDES_GO')){
exit;
}

Dennoch befürchte ich, dass Strato durch die unerwartete Konfiguration selbst an der Schaffung von Problemen mitwirkt. Es geht darum, dass es wohl genug PHP-Progger (erst recht einfache Kunden) geben wird, die von dieser Besonderheit der Strato-Konfiguration und von der Auswirkung nichts wissen. Und da sehe ich Strato dann doch in der Verantwortung.

Ersteinmal sehe ich den Kunden, der Software installiert und sich nicht an die Anleitung zur Installation der Software hält in der Verantwortung oder deren Entwickler, der einen schlechten und fehlerhaften Weg zur Überprüfung der Inkludiertheit gewählt hat.

Zumal ich keinen trefflichen Grund sehe, den Symlinks in der Konfiguration zu folgen. Das erscheint mir so nötig wie ein Kropf.

Das heißt allerdings nicht, dass es keinen gibt. Gerade bei Shared Hosting wäre ich eher verwundert, wenn mein Verzeichnis tatsächlich unterhalb von Document_Root liegt.

mfg
Woodfighter