Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Optionsbleed: Apache-Webserver blutet

Von wegen Ungewöhnliche Konstellation

  1. Thema

Neues Thema Ansicht wechseln


  1. Von wegen Ungewöhnliche Konstellation

    Autor: quasides 18.09.17 - 19:01

    Sie ist sogar mehr als üblich.

    Das problem besteht in mitgelieferten .htaccess Files diverser fertiger (meist php) applikationen.

    Da werden gern mal auch exotischere "options" mitgeliefert die dann aber gerne mal nur optional sind.


    aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist besonders bei shared hosting.
    der hund ist das man in bestimmten konstellationen mittels htaccess in den sharebereich anderer user datenabgreifen kann
    .htaccess ist somit ansich schon ein sicherheits problem


    dumm nur das 99,9999% aller anbieter von shared hosting über plesk und konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

  2. Re: Von wegen Ungewöhnliche Konstellation

    Autor: johnripper 18.09.17 - 19:57

    Naja bis heute bestand kein Grund .htaccess als besonders unsicher anzusehen.

    Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.

    Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja auch nicht mit der Kreditkartennummer deiner Freundin :-)

  3. Re: Von wegen Ungewöhnliche Konstellation

    Autor: ArcherV 18.09.17 - 21:48

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Sie ist sogar mehr als üblich.
    >
    > Das problem besteht in mitgelieferten .htaccess Files diverser fertiger
    > (meist php) applikationen.
    >
    > Da werden gern mal auch exotischere "options" mitgeliefert die dann aber
    > gerne mal nur optional sind.
    >
    > aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist
    > besonders bei shared hosting.
    > der hund ist das man in bestimmten konstellationen mittels htaccess in den
    > sharebereich anderer user datenabgreifen kann
    > .htaccess ist somit ansich schon ein sicherheits problem
    >
    > dumm nur das 99,9999% aller anbieter von shared hosting über plesk und
    > konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

    Man muss ja kein Apache nutzen :-)

  4. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Techn 18.09.17 - 23:04

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Naja bis heute bestand kein Grund .htaccess als besonders unsicher
    > anzusehen.
    >
    > Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der
    > auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.
    >
    > Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja
    > auch nicht mit der Kreditkartennummer deiner Freundin :-)

    Du vielleicht nicht ;) ich schon wenn ich irgendwo was zahlen soll^^



    1 mal bearbeitet, zuletzt am 18.09.17 23:05 durch Techn.

  5. Re: Von wegen Ungewöhnliche Konstellation

    Autor: masel99 18.09.17 - 23:26

    Wolle Rose kaufen? ;)

  6. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 07:20

    Das Problem ist auch, dass jede Anwendung die Anwendung selbst in den erreichbaren Bereich legen, obwohl diese nicht da hingehört. Liegt die Anwendung ausserhalb des http/html Orders, dann gibt es auch keine Notwendigkeit den Zugriff zu beschränken.

  7. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 09:35

    Die .htaccess wird nicht nur genutzt um den Zugriff zu beschränken, sondern zum Beispiel auch um die URL umzuschreiben. Wenn du das nicht per .htaccess machen kannst, musst du die nötigen Rechte haben, um an der Serverkonfiguration zu schrauben und das ist bei Shared Hosting nicht üblich.

  8. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 19:27

    Das umschreiben der Adresse ist in diesem Dall nicht das Problem

  9. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 21:06

    Mein Kommentar zielte eher darauf ab zu beantworten, warum htaccess in der Regel nicht deaktiviert wird. Das wäre wohl besser direkt an deinen Vorredner adressiert gewesen.

  10. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 20.09.17 - 10:56

    Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen. Das würde bei diesem Bug jedoch nicht viel helfen. Das Problem existiert dann mit den ganzen Anwendungen, die sich ja im öffentlichen Ordner breit machen müssen.
    Aber die meisten Betreiber zeigen ja auch alle PHP Fehler an und testen auf Live Systemen herum - das Ganze natürlich zur Hauptbesuchszeit. Also spielt es sowieso keine Rolle, da die Systeme sowieso nicht abgesichert sind. Apache hat ja auch Schreibzugriff auf alle Dateien, und der Upload Ordner führt PHP Code und sonstige Scriptsprachen aus, und die Templates müssen ja zur Laufzeit und nicht bei Update übersetzt werden. Ist ja viel bequemer. Natürlich geht das System ungetestet online, da es ja gestern fertig sein muss. Von Updates wollen wir gar nicht sprechen.

    Von verantwortungvollen Umgang in diesen Umfeld kann man da nicht sprechen. Jedenfalls ist es mir nur selten untergekommen.

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. Landesbetrieb IT.Niedersachsen, Hannover
  2. Basler AG, Ahrensburg bei Hamburg
  3. Hannover Rück SE, Hannover
  4. SBK Siemens-Betriebskrankenkasse, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Z370-Boards mit Intel Optane Speicher + Intel SSD
  2. 39,99€ statt 59,99€
  3. und 25€ Steam-Gutschein erhalten
  4. 1.099€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

Game Workers Unite: Spieleentwickler aller Länder, vereinigt euch!
Game Workers Unite
Spieleentwickler aller Länder, vereinigt euch!

Weniger Crunchtime, mehr Lunchtime: Die Gewerkschaft Game Workers Unite will gegen schlechte Arbeitsbedingungen in der Spielebranche vorgehen - auch in Deutschland.
Von Daniel Ziegener

  1. Spielebranche Neue Konsole unter dem Markennamen Intellivision geplant
  2. The Irregular Corporation PC Building Simulator verkauft sich bereits 100.000 mal
  3. Spielemarkt Download-Anteil bei Games steigt auf 42 Prozent

  1. HySeas III: Schottische Werft baut Hochseefähre mit Brennstoffzelle
    HySeas III
    Schottische Werft baut Hochseefähre mit Brennstoffzelle

    Auf den schottischen Orkney-Inseln wird viel saubere Energietechnik getestet. In einige Jahren soll dort die erste Hochseefähre mit Brennstoffzelle fahren. Der Bau beginnt dieser Tage. An dem Projekt beteiligt ist auch das Deutsche Zentrum für Luft- und Raumfahrt (DLR).

  2. NF1: Samung bringt Ruler-SSD im M.3-Format mit 8 TByte
    NF1
    Samung bringt Ruler-SSD im M.3-Format mit 8 TByte

    Die NF1 ist Samsungs erste SSD in M.3-Bauweise für Server. Anders als beim M.2-Format sind die Ruler-Drives breiter und fassen mehr Flash-Speicher-Chips, bei der NF1 sind es gleich 8 TByte. Der neu entwickelte Controller unterstützt PCIe Gen4 für hohe Transferraten.

  3. Car Connectivity Consortium: Smartphones sollen Autoschlüssel ersetzen
    Car Connectivity Consortium
    Smartphones sollen Autoschlüssel ersetzen

    Autos sollen sich künftig auch mit dem Smartphone öffnen und schließen lassen. Dem Car Connectivity Consortium (CCC) schwebt aber auch vor, Autofahrern eine umfassende Rechteverwaltung anzubieten, die regelt, wer ihr Auto öffnen und starten darf.


  1. 10:46

  2. 10:25

  3. 09:19

  4. 08:47

  5. 08:00

  6. 07:19

  7. 18:16

  8. 17:59