1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Optionsbleed: Apache-Webserver blutet

Von wegen Ungewöhnliche Konstellation

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Von wegen Ungewöhnliche Konstellation

    Autor: quasides 18.09.17 - 19:01

    Sie ist sogar mehr als üblich.

    Das problem besteht in mitgelieferten .htaccess Files diverser fertiger (meist php) applikationen.

    Da werden gern mal auch exotischere "options" mitgeliefert die dann aber gerne mal nur optional sind.


    aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist besonders bei shared hosting.
    der hund ist das man in bestimmten konstellationen mittels htaccess in den sharebereich anderer user datenabgreifen kann
    .htaccess ist somit ansich schon ein sicherheits problem


    dumm nur das 99,9999% aller anbieter von shared hosting über plesk und konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

  2. Re: Von wegen Ungewöhnliche Konstellation

    Autor: johnripper 18.09.17 - 19:57

    Naja bis heute bestand kein Grund .htaccess als besonders unsicher anzusehen.

    Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.

    Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja auch nicht mit der Kreditkartennummer deiner Freundin :-)

  3. Re: Von wegen Ungewöhnliche Konstellation

    Autor: ArcherV 18.09.17 - 21:48

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Sie ist sogar mehr als üblich.
    >
    > Das problem besteht in mitgelieferten .htaccess Files diverser fertiger
    > (meist php) applikationen.
    >
    > Da werden gern mal auch exotischere "options" mitgeliefert die dann aber
    > gerne mal nur optional sind.
    >
    > aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist
    > besonders bei shared hosting.
    > der hund ist das man in bestimmten konstellationen mittels htaccess in den
    > sharebereich anderer user datenabgreifen kann
    > .htaccess ist somit ansich schon ein sicherheits problem
    >
    > dumm nur das 99,9999% aller anbieter von shared hosting über plesk und
    > konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

    Man muss ja kein Apache nutzen :-)

  4. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Techn 18.09.17 - 23:04

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Naja bis heute bestand kein Grund .htaccess als besonders unsicher
    > anzusehen.
    >
    > Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der
    > auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.
    >
    > Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja
    > auch nicht mit der Kreditkartennummer deiner Freundin :-)

    Du vielleicht nicht ;) ich schon wenn ich irgendwo was zahlen soll^^



    1 mal bearbeitet, zuletzt am 18.09.17 23:05 durch Techn.

  5. Re: Von wegen Ungewöhnliche Konstellation

    Autor: masel99 18.09.17 - 23:26

    Wolle Rose kaufen? ;)

  6. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 07:20

    Das Problem ist auch, dass jede Anwendung die Anwendung selbst in den erreichbaren Bereich legen, obwohl diese nicht da hingehört. Liegt die Anwendung ausserhalb des http/html Orders, dann gibt es auch keine Notwendigkeit den Zugriff zu beschränken.

  7. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 09:35

    Die .htaccess wird nicht nur genutzt um den Zugriff zu beschränken, sondern zum Beispiel auch um die URL umzuschreiben. Wenn du das nicht per .htaccess machen kannst, musst du die nötigen Rechte haben, um an der Serverkonfiguration zu schrauben und das ist bei Shared Hosting nicht üblich.

  8. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 19:27

    Das umschreiben der Adresse ist in diesem Dall nicht das Problem

  9. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 21:06

    Mein Kommentar zielte eher darauf ab zu beantworten, warum htaccess in der Regel nicht deaktiviert wird. Das wäre wohl besser direkt an deinen Vorredner adressiert gewesen.

  10. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 20.09.17 - 10:56

    Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen. Das würde bei diesem Bug jedoch nicht viel helfen. Das Problem existiert dann mit den ganzen Anwendungen, die sich ja im öffentlichen Ordner breit machen müssen.
    Aber die meisten Betreiber zeigen ja auch alle PHP Fehler an und testen auf Live Systemen herum - das Ganze natürlich zur Hauptbesuchszeit. Also spielt es sowieso keine Rolle, da die Systeme sowieso nicht abgesichert sind. Apache hat ja auch Schreibzugriff auf alle Dateien, und der Upload Ordner führt PHP Code und sonstige Scriptsprachen aus, und die Templates müssen ja zur Laufzeit und nicht bei Update übersetzt werden. Ist ja viel bequemer. Natürlich geht das System ungetestet online, da es ja gestern fertig sein muss. Von Updates wollen wir gar nicht sprechen.

    Von verantwortungvollen Umgang in diesen Umfeld kann man da nicht sprechen. Jedenfalls ist es mir nur selten untergekommen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt am Main
  2. THD - Technische Hochschule Deggendorf, Deggendorf
  3. KRATZER AUTOMATION AG, Unterschleißheim
  4. Marc Cain GmbH, Bodelshausen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme