HTAccess läßt grüßen ...

wenn man ein HTAccess vorschaltet (oder noch besser sowas nur per VPN erreichbar macht oder auch nur bei Bedarf aktiviert) besteht so ein Problem erst gar nicht

Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die MySQL-CLI, usw) auch nicht.
Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert sowas hier halt. Naja, mich betrifft es nicht...und solang sowas funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal so weiter machen...

tomatentee schrieb:
--------------------------------------------------------------------------------
> also kein php-crap

Ist das ein PHP Framework o.ä.? Der Name sagt mir gar nichts.

Sollte wohl ein PHP Bashing werden, ging aber wie üblich komplett am Thema vorbei.

Stimmt, weil PHP nur der Weg ist, der Bug ist in mySQL und grundsätzlich über jeden Zugangsweg ausnutzbar. Auch über das Benutzerfrontend. Und das ist wohl kaum zu reglementieren.

Und wie Unwissend die Kritiker weiter oben sind, erkennt man schon am VPN. Einfach nur ein BUZZ-Wort einwerfen um intelligent zu wirken. Aber nicht wissend was VPN eigentlich ist.

Mit VPN wird lediglich ein verschlüsselter Zugang zu einem Netzwerk geöffnet. VPN selbst ist genauso von Bugs betroffen sie alles andere. Nur das ein geknackter VPN nicht nur den Zugang zu einem einzelsystem ermöglicht, sondern gleich die Berechtigung fürs ganze Netzwerksegment bekommt.

tomatentee schrieb:
--------------------------------------------------------------------------------
> Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die
> MySQL-CLI, usw) auch nicht.
> Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert
> sowas hier halt. Naja, mich betrifft es nicht...und solang sowas
> funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal
> so weiter machen...

Mach dich nicht so wichtig, wenn du keine Ahnung hast. Das Problem liegt überhaupt nicht bei PHP, sondern bei MySQL. Jeder Weg ist betroffen ... Also fahr die Kappe wieder ein, setz dich hin und mach dich nicht noch weiter zum Unwissenden.

tomatentee schrieb:
--------------------------------------------------------------------------------
> Wenn man vernünftige Werkzeuge einsetzt (also kein php-crap, sql über die
> MySQL-CLI, usw) auch nicht.
> Macht aber keiner so, weil „viel zu kompliziert“. Dann passiert
> sowas hier halt. Naja, mich betrifft es nicht...und solang sowas
> funktioniert gibt es weniger Angriffe auf härtere Ziele. Also lass sie mal
> so weiter machen...

Es ist häufig der einzige Weg auf die DB zuzugreifen. Häufig ist der DB Server nur vom dem Server erreichbar der ihn auch produktiv nutzen soll. Das ist bei den meisten Webhostern zumindest der Fall. Auch bei nem Root-Server würde ich mir den DB-Port nicht frei ans Netz hängen. Dann habe ich aber auch nur die Option eine Weblösung zu nutzen oder mir nen VPN auf den Root-Server zu Basteln. (Inkls. der Nachteile von VPN)

Jetzt verbreite mal nicht so viel Halbwissen. Den Zugang zu solchen System nur über VPN zuzulassen ist NATÜRLICH sinnvoll. Auch wenn VPNs angreifbar sind, reduziert man doch die Angrifsfläche enorm. Ausserdem wer sagt dass innerhalb eines Netzwerk jedes System beliebig erreicht werden kann. Da gibt es genügend Möglichkeit auch Beschränkungen zum Schutz des inneren Netzwerk einzurichten.

grompa schrieb:
--------------------------------------------------------------------------------
> Jetzt verbreite mal nicht so viel Halbwissen. Den Zugang zu solchen System
> nur über VPN zuzulassen ist NATÜRLICH sinnvoll. Auch wenn VPNs angreifbar
> sind, reduziert man doch die Angrifsfläche enorm. Ausserdem wer sagt dass
> innerhalb eines Netzwerk jedes System beliebig erreicht werden kann. Da
> gibt es genügend Möglichkeit auch Beschränkungen zum Schutz des inneren
> Netzwerk einzurichten.

Also ein SQL-Web-Admin mit htaccess davor ist also eine größere Angriffsfläche als eine VPN Konfiguration? Soso. Es muss halt auch besondere Ansichten in der IT geben.