1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Optionsbleed: Apache-Webserver blutet

Von wegen Ungewöhnliche Konstellation

  1. Thema

Neues Thema Ansicht wechseln


  1. Von wegen Ungewöhnliche Konstellation

    Autor: quasides 18.09.17 - 19:01

    Sie ist sogar mehr als üblich.

    Das problem besteht in mitgelieferten .htaccess Files diverser fertiger (meist php) applikationen.

    Da werden gern mal auch exotischere "options" mitgeliefert die dann aber gerne mal nur optional sind.


    aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist besonders bei shared hosting.
    der hund ist das man in bestimmten konstellationen mittels htaccess in den sharebereich anderer user datenabgreifen kann
    .htaccess ist somit ansich schon ein sicherheits problem


    dumm nur das 99,9999% aller anbieter von shared hosting über plesk und konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

  2. Re: Von wegen Ungewöhnliche Konstellation

    Autor: johnripper 18.09.17 - 19:57

    Naja bis heute bestand kein Grund .htaccess als besonders unsicher anzusehen.

    Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.

    Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja auch nicht mit der Kreditkartennummer deiner Freundin :-)

  3. Re: Von wegen Ungewöhnliche Konstellation

    Autor: ArcherV 18.09.17 - 21:48

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Sie ist sogar mehr als üblich.
    >
    > Das problem besteht in mitgelieferten .htaccess Files diverser fertiger
    > (meist php) applikationen.
    >
    > Da werden gern mal auch exotischere "options" mitgeliefert die dann aber
    > gerne mal nur optional sind.
    >
    > aber gut ich sag schon seit jahren das .htaccess zwingen zu deaktvieren ist
    > besonders bei shared hosting.
    > der hund ist das man in bestimmten konstellationen mittels htaccess in den
    > sharebereich anderer user datenabgreifen kann
    > .htaccess ist somit ansich schon ein sicherheits problem
    >
    > dumm nur das 99,9999% aller anbieter von shared hosting über plesk und
    > konsorten arbeiten (müssen) und da wird .htaccess wieder notwendig.

    Man muss ja kein Apache nutzen :-)

  4. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Techn 18.09.17 - 23:04

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Naja bis heute bestand kein Grund .htaccess als besonders unsicher
    > anzusehen.
    >
    > Das Problem liegt mE ja auch nicht bei .htaccess, sondern beim Apache der
    > auf eine komische Anfrage mit noch komischsten Antworten ums Eck kommt.
    >
    > Wenn dir jemand auf der Straße eine komische Frage stellt, antwortest du ja
    > auch nicht mit der Kreditkartennummer deiner Freundin :-)

    Du vielleicht nicht ;) ich schon wenn ich irgendwo was zahlen soll^^



    1 mal bearbeitet, zuletzt am 18.09.17 23:05 durch Techn.

  5. Re: Von wegen Ungewöhnliche Konstellation

    Autor: masel99 18.09.17 - 23:26

    Wolle Rose kaufen? ;)

  6. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 07:20

    Das Problem ist auch, dass jede Anwendung die Anwendung selbst in den erreichbaren Bereich legen, obwohl diese nicht da hingehört. Liegt die Anwendung ausserhalb des http/html Orders, dann gibt es auch keine Notwendigkeit den Zugriff zu beschränken.

  7. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 09:35

    Die .htaccess wird nicht nur genutzt um den Zugriff zu beschränken, sondern zum Beispiel auch um die URL umzuschreiben. Wenn du das nicht per .htaccess machen kannst, musst du die nötigen Rechte haben, um an der Serverkonfiguration zu schrauben und das ist bei Shared Hosting nicht üblich.

  8. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 19.09.17 - 19:27

    Das umschreiben der Adresse ist in diesem Dall nicht das Problem

  9. Re: Von wegen Ungewöhnliche Konstellation

    Autor: Schnarchnase 19.09.17 - 21:06

    Mein Kommentar zielte eher darauf ab zu beantworten, warum htaccess in der Regel nicht deaktiviert wird. Das wäre wohl besser direkt an deinen Vorredner adressiert gewesen.

  10. Re: Von wegen Ungewöhnliche Konstellation

    Autor: thomas.pi 20.09.17 - 10:56

    Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen. Das würde bei diesem Bug jedoch nicht viel helfen. Das Problem existiert dann mit den ganzen Anwendungen, die sich ja im öffentlichen Ordner breit machen müssen.
    Aber die meisten Betreiber zeigen ja auch alle PHP Fehler an und testen auf Live Systemen herum - das Ganze natürlich zur Hauptbesuchszeit. Also spielt es sowieso keine Rolle, da die Systeme sowieso nicht abgesichert sind. Apache hat ja auch Schreibzugriff auf alle Dateien, und der Upload Ordner führt PHP Code und sonstige Scriptsprachen aus, und die Templates müssen ja zur Laufzeit und nicht bei Update übersetzt werden. Ist ja viel bequemer. Natürlich geht das System ungetestet online, da es ja gestern fertig sein muss. Von Updates wollen wir gar nicht sprechen.

    Von verantwortungvollen Umgang in diesen Umfeld kann man da nicht sprechen. Jedenfalls ist es mir nur selten untergekommen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Freyung
  2. über duerenhoff GmbH, Lübeck
  3. Bechtle Onsite Services, München
  4. über duerenhoff GmbH, Garching

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. AEG Akku-Staubsauger für 199€, Acer ED273URP WQHD-Monitor mit 144 Hz für 289€ statt...
  2. 89,90€ (Bestpreis)
  3. (u. a. Anno 1800 - Königsedition (Complete Edition) für 59,99€), The Division 2 - Warlords of...


Haben wir etwas übersehen?

E-Mail an news@golem.de