Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Optionsbleed: Apache-Webserver blutet

Von wegen Ungewöhnliche Konstellation

  1. Thema

Neues Thema Ansicht wechseln


  1. Von wegen Ungewöhnliche Konstellation

    Autor: quasides 18.09.17 - 19:01

    Sie ist sogar mehr als üblich.

    Das problem besteht in mitgelieferten .htaccess Files diverser fertiger (meist php) applikationen.

    Da werden gern mal auch exotischere "options" mitgeliefert die dann aber gerne mal nur optional sind.


    aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist besonders bei shared hosting.
    der hund ist das man in bestimmten konstellationen mittels htaccess in den sharebereich anderer user datenabgreifen kann
    .htaccess ist somit ansich schon ein sicherheits problem


    dumm nur das 99,9999% aller anbieter von shared hosting über plesk und konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

  2. Re: Von wegen Ungewöhnliche Konstellation

    Autor: johnripper 18.09.17 - 19:57

    Naja bis heute bestand kein Grund .htaccess als besonders unsicher anzusehen.

    Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.

    Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja auch nicht mit der Kreditkartennummer deiner Freundin :-)

  3. Re: Von wegen Ungewöhnliche Konstellation

    Autor: ArcherV 18.09.17 - 21:48

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Sie ist sogar mehr als üblich.
    >
    > Das problem besteht in mitgelieferten .htaccess Files diverser fertiger
    > (meist php) applikationen.
    >
    > Da werden gern mal auch exotischere "options" mitgeliefert die dann aber
    > gerne mal nur optional sind.
    >
    > aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist
    > besonders bei shared hosting.
    > der hund ist das man in bestimmten konstellationen mittels htaccess in den
    > sharebereich anderer user datenabgreifen kann
    > .htaccess ist somit ansich schon ein sicherheits problem
    >
    > dumm nur das 99,9999% aller anbieter von shared hosting über plesk und
    > konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

    Man muss ja kein Apache nutzen :-)

  4. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Techn 18.09.17 - 23:04

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Naja bis heute bestand kein Grund .htaccess als besonders unsicher
    > anzusehen.
    >
    > Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der
    > auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.
    >
    > Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja
    > auch nicht mit der Kreditkartennummer deiner Freundin :-)

    Du vielleicht nicht ;) ich schon wenn ich irgendwo was zahlen soll^^



    1 mal bearbeitet, zuletzt am 18.09.17 23:05 durch Techn.

  5. Re: Von wegen Ungewöhnliche Konstellation

    Autor: masel99 18.09.17 - 23:26

    Wolle Rose kaufen? ;)

  6. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 07:20

    Das Problem ist auch, dass jede Anwendung die Anwendung selbst in den erreichbaren Bereich legen, obwohl diese nicht da hingehört. Liegt die Anwendung ausserhalb des http/html Orders, dann gibt es auch keine Notwendigkeit den Zugriff zu beschränken.

  7. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 09:35

    Die .htaccess wird nicht nur genutzt um den Zugriff zu beschränken, sondern zum Beispiel auch um die URL umzuschreiben. Wenn du das nicht per .htaccess machen kannst, musst du die nötigen Rechte haben, um an der Serverkonfiguration zu schrauben und das ist bei Shared Hosting nicht üblich.

  8. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 19:27

    Das umschreiben der Adresse ist in diesem Dall nicht das Problem

  9. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 21:06

    Mein Kommentar zielte eher darauf ab zu beantworten, warum htaccess in der Regel nicht deaktiviert wird. Das wäre wohl besser direkt an deinen Vorredner adressiert gewesen.

  10. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 20.09.17 - 10:56

    Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen. Das würde bei diesem Bug jedoch nicht viel helfen. Das Problem existiert dann mit den ganzen Anwendungen, die sich ja im öffentlichen Ordner breit machen müssen.
    Aber die meisten Betreiber zeigen ja auch alle PHP Fehler an und testen auf Live Systemen herum - das Ganze natürlich zur Hauptbesuchszeit. Also spielt es sowieso keine Rolle, da die Systeme sowieso nicht abgesichert sind. Apache hat ja auch Schreibzugriff auf alle Dateien, und der Upload Ordner führt PHP Code und sonstige Scriptsprachen aus, und die Templates müssen ja zur Laufzeit und nicht bei Update übersetzt werden. Ist ja viel bequemer. Natürlich geht das System ungetestet online, da es ja gestern fertig sein muss. Von Updates wollen wir gar nicht sprechen.

    Von verantwortungvollen Umgang in diesen Umfeld kann man da nicht sprechen. Jedenfalls ist es mir nur selten untergekommen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. Bechtle AG, deutschlandweit
  3. ITZ Informationstechnologie GmbH, Essen
  4. Deutsche Leasing AG, Bad Homburg vor der Höhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Shadow of the Tomb Raider im Test: Lara und die Apokalypse Lau
Shadow of the Tomb Raider im Test
Lara und die Apokalypse Lau

Ein alter Tempel und Lara Croft: Diese Kombination sorgt in Shadow of the Tomb Raider natürlich für gewaltige Probleme. Die inhaltlichen Unterschiede zu den Vorgängern sind erstaunlich groß, aber trotz guter Ideen vermag das Action-Adventure im Test nicht so richtig zu überzeugen.
Ein Test von Peter Steinlechner

  1. Square Enix Systemanforderungen für Shadow of the Tomb Raider liegen vor
  2. Shadow of the Tomb Raider angespielt Lara und die Schwierigkeitsgrade
  3. Remasters Tomb Raider 1 bis 3 bekommen neue Engine

Virtuelle Realität: Skin-Handel auf Basis von Blockchain
Virtuelle Realität
Skin-Handel auf Basis von Blockchain

Vlad Panchenko hat als Gaming-Unternehmer Millionen gemacht. Jetzt entwickelt er ein neues Blockchain-Protokoll. Heute kann man darüber In-Game Items sicher handeln, in der anrückenden VR-Zukunft aber alles, wie er glaubt.
Ein Interview von Sebastian Gluschak

  1. Digital Asset Google und Startup bieten Blockchain-Programmiersprache an
  2. Illegale Inhalte Die Blockchain enthält Missbrauchsdarstellungen

  1. Nach Chemnitz-Äußerungen: Seehofer holt sich Verfassungsschutzchef Maaßen
    Nach Chemnitz-Äußerungen
    Seehofer holt sich Verfassungsschutzchef Maaßen

    Nach seinen umstrittenen Äußerungen zu ausländerfeindlichen Angriffen muss Verfassungsschutzpräsident Maaßen seinen Posten räumen und wird zum Staatssekretär befördert. Im NSA-Ausschuss war er durch unbelegte Vorwürfe gegen US-Whistleblower Edward Snowden aufgefallen.

  2. Videoportal: Youtube Gaming wird abgeschafft
    Videoportal
    Youtube Gaming wird abgeschafft

    Die Nutzer finden die Trennung zwischen Youtube und Youtube Gaming zu verwirrend, jetzt zieht das Videoportal die Konsequenzen: Spieleinhalte sind künftig im normalen Angebot zu finden - mit ein paar spannenden Extras.

  3. Glasfaser: Wohnungsbaugesellschaften machen selbst FTTH
    Glasfaser
    Wohnungsbaugesellschaften machen selbst FTTH

    Ohne Glasfaser anzubieten, brauchen sich Firmen bei Wohnungsbaukonzernen kaum noch bewerben. Als eigener Akteur beim Netzausbau ist deren Bundesverband deshalb auch gegen das Diginetz-Gesetz.


  1. 19:02

  2. 18:30

  3. 18:24

  4. 17:45

  5. 15:11

  6. 15:00

  7. 13:40

  8. 13:20