Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Optionsbleed: Apache-Webserver blutet

Von wegen Ungewöhnliche Konstellation

  1. Thema

Neues Thema Ansicht wechseln


  1. Von wegen Ungewöhnliche Konstellation

    Autor: quasides 18.09.17 - 19:01

    Sie ist sogar mehr als üblich.

    Das problem besteht in mitgelieferten .htaccess Files diverser fertiger (meist php) applikationen.

    Da werden gern mal auch exotischere "options" mitgeliefert die dann aber gerne mal nur optional sind.


    aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist besonders bei shared hosting.
    der hund ist das man in bestimmten konstellationen mittels htaccess in den sharebereich anderer user datenabgreifen kann
    .htaccess ist somit ansich schon ein sicherheits problem


    dumm nur das 99,9999% aller anbieter von shared hosting über plesk und konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

  2. Re: Von wegen Ungewöhnliche Konstellation

    Autor: johnripper 18.09.17 - 19:57

    Naja bis heute bestand kein Grund .htaccess als besonders unsicher anzusehen.

    Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.

    Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja auch nicht mit der Kreditkartennummer deiner Freundin :-)

  3. Re: Von wegen Ungewöhnliche Konstellation

    Autor: ArcherV 18.09.17 - 21:48

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Sie ist sogar mehr als üblich.
    >
    > Das problem besteht in mitgelieferten .htaccess Files diverser fertiger
    > (meist php) applikationen.
    >
    > Da werden gern mal auch exotischere "options" mitgeliefert die dann aber
    > gerne mal nur optional sind.
    >
    > aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist
    > besonders bei shared hosting.
    > der hund ist das man in bestimmten konstellationen mittels htaccess in den
    > sharebereich anderer user datenabgreifen kann
    > .htaccess ist somit ansich schon ein sicherheits problem
    >
    > dumm nur das 99,9999% aller anbieter von shared hosting über plesk und
    > konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

    Man muss ja kein Apache nutzen :-)

  4. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Techn 18.09.17 - 23:04

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Naja bis heute bestand kein Grund .htaccess als besonders unsicher
    > anzusehen.
    >
    > Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der
    > auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.
    >
    > Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja
    > auch nicht mit der Kreditkartennummer deiner Freundin :-)

    Du vielleicht nicht ;) ich schon wenn ich irgendwo was zahlen soll^^



    1 mal bearbeitet, zuletzt am 18.09.17 23:05 durch Techn.

  5. Re: Von wegen Ungewöhnliche Konstellation

    Autor: masel99 18.09.17 - 23:26

    Wolle Rose kaufen? ;)

  6. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 07:20

    Das Problem ist auch, dass jede Anwendung die Anwendung selbst in den erreichbaren Bereich legen, obwohl diese nicht da hingehört. Liegt die Anwendung ausserhalb des http/html Orders, dann gibt es auch keine Notwendigkeit den Zugriff zu beschränken.

  7. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 09:35

    Die .htaccess wird nicht nur genutzt um den Zugriff zu beschränken, sondern zum Beispiel auch um die URL umzuschreiben. Wenn du das nicht per .htaccess machen kannst, musst du die nötigen Rechte haben, um an der Serverkonfiguration zu schrauben und das ist bei Shared Hosting nicht üblich.

  8. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 19:27

    Das umschreiben der Adresse ist in diesem Dall nicht das Problem

  9. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 21:06

    Mein Kommentar zielte eher darauf ab zu beantworten, warum htaccess in der Regel nicht deaktiviert wird. Das wäre wohl besser direkt an deinen Vorredner adressiert gewesen.

  10. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 20.09.17 - 10:56

    Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen. Das würde bei diesem Bug jedoch nicht viel helfen. Das Problem existiert dann mit den ganzen Anwendungen, die sich ja im öffentlichen Ordner breit machen müssen.
    Aber die meisten Betreiber zeigen ja auch alle PHP Fehler an und testen auf Live Systemen herum - das Ganze natürlich zur Hauptbesuchszeit. Also spielt es sowieso keine Rolle, da die Systeme sowieso nicht abgesichert sind. Apache hat ja auch Schreibzugriff auf alle Dateien, und der Upload Ordner führt PHP Code und sonstige Scriptsprachen aus, und die Templates müssen ja zur Laufzeit und nicht bei Update übersetzt werden. Ist ja viel bequemer. Natürlich geht das System ungetestet online, da es ja gestern fertig sein muss. Von Updates wollen wir gar nicht sprechen.

    Von verantwortungvollen Umgang in diesen Umfeld kann man da nicht sprechen. Jedenfalls ist es mir nur selten untergekommen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen
  3. SWP Stadtwerke Pforzheim GmbH & Co. KG, Pforzheim
  4. über Hays AG, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Landwirtschafts-Simulator auf dem C64: Auf zum Pixelernten!
Landwirtschafts-Simulator auf dem C64
Auf zum Pixelernten!

In der Collector's Edition des Landwirtschafts-Simulators 19 ist das Spiel gleich zwei Mal enthalten - einmal für den PC und einmal für den C64. Wir haben die Version für Commodores Heimcomputer auf unserem Redaktions-C64 gespielt, stilecht von der Cartridge geladen.
Ein Test von Tobias Költzsch

  1. Giants Software Ländliche Mods auf Playstation und Xbox

Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

  1. Raiju Mobile: Razer präsentiert Smartphone-Controller für 150 Euro
    Raiju Mobile
    Razer präsentiert Smartphone-Controller für 150 Euro

    Mit dem Raiju Mobile hat Razer seine Controller-Reihe für Sonys Playstations auf Smartphones erweitert. Das Mobiltelefon kann in eine neigbare Halterung gesteckt werden, neben den gewohnten Steuerungselementen stehen vier programmierbare Buttons zur Verfügung.

  2. Datenschutz: Löschen des Tracking-Verlaufs auf Facebook macht Probleme
    Datenschutz
    Löschen des Tracking-Verlaufs auf Facebook macht Probleme

    Im Mai 2018 hatte Facebook versprochen, dass Nutzer ihren Tracking-Verlauf löschen können - ein sehr weitgehendes Zugeständnis an den Datenschutz. Jetzt hat sich das Unternehmen mit einem Zwischenstand über die Umsetzung gemeldet.

  3. Callcenter: Unerlaubte Telefonwerbung kann teuer werden
    Callcenter
    Unerlaubte Telefonwerbung kann teuer werden

    Die Bundesnetzagentur hat zwei Callcenter mit einem Bußgeld von 300.000 Euro belegt. Mehr als 1.400 Verbraucher hatten sich über die Methoden der Firmen beschwert.


  1. 17:23

  2. 16:43

  3. 15:50

  4. 15:35

  5. 15:06

  6. 14:41

  7. 13:47

  8. 12:27