1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webapplikationen: Sicherheitslücke in…

.htaccess ist die Pest

  1. Thema

Neues Thema Ansicht wechseln


  1. .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 00:16

    Anstatt vernünftig zu dokumentieren was gemacht werden muss
    wird in den Projekten in jedes Verzeichnis eine .htaccess reingemüllt.
    Wer Nginx benutzt weiß dass das keine Freude ist.
    Bei jedem Update muss man alle .htaccess Dateien prüfen ob etwas
    verändert wurde und die Config anpassen.

  2. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 00:34

    Warum macht man das? Wenn du einen Webserver mit einer überschaubaren Anzahl an Projekten hast hast du doch sowieso pro (Sub)Domain eine Konfigdatei und kannst dein Regelmüll darüber konfigurieren. .htaccess als Erweiterung der Konfiguration brauchst doch eigentlich nur dann wenn du verschiedene User in verschiedenen Projekten hast die verschiedene Bereiche haben mit eigenen Verhalten welches über die .htaccess gesteuert wird und desöfteren Änderungen benötigt.

  3. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 00:59

    piros schrieb:
    --------------------------------------------------------------------------------
    > Warum macht man das? Wenn du einen Webserver mit einer überschaubaren
    > Anzahl an Projekten hast hast du doch sowieso pro (Sub)Domain eine
    > Konfigdatei und kannst dein Regelmüll darüber konfigurieren. .htaccess als
    > Erweiterung der Konfiguration brauchst doch eigentlich nur dann wenn du
    > verschiedene User in verschiedenen Projekten hast die verschiedene Bereiche
    > haben mit eigenen Verhalten welches über die .htaccess gesteuert wird und
    > desöfteren Änderungen benötigt.

    Die Anzahl an Domains hat doch damit nichts zu tun.
    In irgendeinem Projekt wie Roundcube oder einem CMS kommt ein Update und dort hast du einen neuen Ordner wo z.b. dieses jQuery Plugin benutzt wird.
    Jetzt muss man diesen neuen Ordner mit der .htaccess Dateien erstmal sehen und die neuen Regeln in der Nginx-Config einbauen und testen.

  4. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 01:32

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Die Anzahl an Domains hat doch damit nichts zu tun.
    > In irgendeinem Projekt wie Roundcube oder einem CMS kommt ein Update und
    > dort hast du einen neuen Ordner wo z.b. dieses jQuery Plugin benutzt wird.
    > Jetzt muss man diesen neuen Ordner mit der .htaccess Dateien erstmal sehen
    > und die neuen Regeln in der Nginx-Config einbauen und testen.

    Nach deinem erstem Satz dacht ich das wär eine persönliche Erfahrung mit eigenen Entwicklern die die .htaccess-Dateien in Unterverzeichnisse müllen. Wieso sollte ein CMS oder Projekt wie Roundcube etc einfach ein Update bekommen wo .htaccess Dateien rumgemüllt werden, wenn das für Projekt xy entwickelt wurde ist das auch integriert und eventuell ergänzende Regeln werden in das vorhandene Regelwerk aufgenommen. Und dabei wird auch nicht einfach das komplette Repository mitsamt Test-/Beispielscripten gecloned und übernommen.

  5. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 01:38

    piros schrieb:
    --------------------------------------------------------------------------------
    > Nach deinem erstem Satz dacht ich das wär eine persönliche Erfahrung mit
    > eigenen Entwicklern die die .htaccess-Dateien in Unterverzeichnisse müllen.
    > Wieso sollte ein CMS oder Projekt wie Roundcube etc einfach ein Update
    > bekommen wo .htaccess Dateien rumgemüllt werden, wenn das für Projekt xy
    > entwickelt wurde ist das auch integriert und eventuell ergänzende Regeln
    > werden in das vorhandene Regelwerk aufgenommen. Und dabei wird auch nicht
    > einfach das komplette Repository mitsamt Test-/Beispielscripten gecloned
    > und übernommen.

    Man merkt dass du noch nie solche Services installiert und betrieben hast.
    Das passiert einfach ständig.

  6. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 01:52

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Man merkt dass du noch nie solche Services installiert und betrieben hast.
    > Das passiert einfach ständig.

    Wenn dir das ständig passiert und du ständig "Arbeit" hast dadurch das du .htaccess Dateien abgleichst und Regeln in die Serverkonfiguration übernimmst sagt das wohl mehr über deine Fähigkeiten als Admin aus.

  7. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 02:12

    piros schrieb:
    --------------------------------------------------------------------------------
    > Wenn dir das ständig passiert und du ständig "Arbeit" hast dadurch das du
    > .htaccess Dateien abgleichst und Regeln in die Serverkonfiguration
    > übernimmst sagt das wohl mehr über deine Fähigkeiten als Admin aus.

    Die Services die .htaccess brauchen betreibe ich mit Apache weil der Aufwand
    zu groß ist. Aber du scheinst ja die große Leuchte zu sein und kannst uns
    allen hier bitte erklären wie man die ganzen .htaccess Dateien die z.B.
    Roundcube + Plugins und TYPO3 + Extensions so brauchen automatisiert
    in Nginx rein bekommt.
    Wenn das Fehlerfrei ohne ohne Testen funktioniert bekommst du auch
    eine Belohnung. 🤦‍♂️

  8. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 02:59

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Die Services die .htaccess brauchen betreibe ich mit Apache weil der
    > Aufwand
    > zu groß ist. Aber du scheinst ja die große Leuchte zu sein und kannst uns
    > allen hier bitte erklären wie man die ganzen .htaccess Dateien die z.B.
    > Roundcube + Plugins und TYPO3 + Extensions so brauchen automatisiert
    > in Nginx rein bekommt.
    > Wenn das Fehlerfrei ohne ohne Testen funktioniert bekommst du auch
    > eine Belohnung. 🤦‍♂️

    Ich hab nie behauptet die große Leuchte zu sein, du hast mir sämtliche Kenntnisse abgesprochen ...
    ... zu deinem Problem, ich seh nicht wieso du Änderungen nicht einfach mergen kannst, in einer Entwicklungsumgebung, Differenz anschaun und testen, funktioniert -> live ansonsten debuggen.
    Wenn ein System wie Typo3 klar auf Funktionen eines Webservers setzt und du einen anderen einsetzt musst du halt auch mit Nachteilen leben. Syntax Converter gibt es schon und ansonsten kann man ja auch selbst was schreiben.

  9. Re: .htaccess ist die Pest

    Autor: Stepinsky 24.10.18 - 08:35

    piros schrieb:
    --------------------------------------------------------------------------------
    > Tragen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Wenn dir das ständig passiert und du ständig "Arbeit" hast dadurch das du
    > .htaccess Dateien abgleichst und Regeln in die Serverkonfiguration
    > übernimmst sagt das wohl mehr über deine Fähigkeiten als Admin aus.

    Es ist einfach Realität, dass in vielen Frameworks bzw. CMS-Systemen Plugins oder Erweiterungen eigene .htaccess Regeln mitbringen. Du musst also nach einer Installation erst einmal alle Ordner scannen, ob dort irgendwelche htaccess verwendet werden. Dann musst du die entsprechenden Regeln übertragen - oft dürfen diese aber nur für einen speziellen Ordner gelten, weil du sonst an anderer Stelle Probleme bekommst.
    Ich wäre sehr, sehr interessiert daran, wie du das vorausschauend als Admin händelst. Da du seine Admin-Fähigkeiten in deutlichen Worten anzweifelst, suggerierst du, dass *DU* für so etwas eine Lösung hast.

    > ... zu deinem Problem, ich seh nicht wieso du Änderungen nicht einfach
    > mergen kannst, in einer Entwicklungsumgebung, Differenz anschaun und
    > testen, funktioniert -> live ansonsten debuggen.
    Das ist jedenfalls nicht die Lösung. Klingt oberflächlich gut, hat aber mit der Praxis aber nichts real zu tun. Es geht hier nicht einfach um Code, sondern um das Übersetzen neuer Regeln in eine andere Syntax mit anderen Lösungswegen. Lass mich raten: du hast mit anderen Webservern wie nginx noch nichts zu tun gehabt?

  10. Re: .htaccess ist die Pest

    Autor: Xiut 24.10.18 - 12:47

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Anstatt vernünftig zu dokumentieren was gemacht werden muss
    > wird in den Projekten in jedes Verzeichnis eine .htaccess reingemüllt.
    > Wer Nginx benutzt weiß dass das keine Freude ist.
    > Bei jedem Update muss man alle .htaccess Dateien prüfen ob etwas
    > verändert wurde und die Config anpassen.

    Bei welchen Anwendungen ist das denn z.B. so extrem der Fall?
    Ich habe schon einiges an Software installiert und .htaccess Dateien lagen entweder nur für saubere URLs (mod_rewrite) drin, damit das unter Apache direkt funktioniert oder eben als zusätzlicher (!!) Schutz was den Zugriff auf Verzeichnisse angeht, wo entsprechend bloß ein "deny from all" drin steht.

    Alles andere würde ja die Kompatiblität allein auch unter den Apache Webservern stark reduzieren, weil da meist bis auf mod_rewrite und vielleicht 1-2 andere Modulen selten genau dasselbe wie bei anderen Apache Webservern installiert/aktiv sind.

    Entsprechend fände ich es mal interessant zu wissen, welche Software denn so extrem funktionierende .htaccess Dateien voraussetzen, wo wirklich so ein Aufwand notwendig ist, weil die sich auch noch hin und wieder mal ändern, also nicht nur alle paar jahre oder so.

  11. Re: .htaccess ist die Pest

    Autor: widdermann 24.10.18 - 12:56

    Dann benutze doch Apache HTTP Server, wenn dich das so stört? So groß ist der Unterschied zwischen den beiden nun auch nicht

  12. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 23:12

    Habe ich doch weiter oben schon geschrieben.
    Roundcube.
    Bisher 8 .htaccess Dateien.
    Mit jedem Plugin kommt mindestens eine dazu und bei Updates ändern die sich auch mal.

    TYPO3 mit Extensions im Moment 59 .htaccess Dateien.

    Piwik, jetzt Matomo hat gerade 11 Dateien.

    Wenn du Glück hast ändert sich nichts, aber trotzdem muss man bei jedem Update alle Dateien vergleichen wenn man nicht Apache benutzen will.

  13. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 23:14

    widdermann schrieb:
    --------------------------------------------------------------------------------
    > Dann benutze doch Apache HTTP Server, wenn dich das so stört? So groß ist
    > der Unterschied zwischen den beiden nun auch nicht

    Mache ich ja zwangsweise leider wenn du oben gelesen hättest.

    Und wer behauptet dass der Unterschied nicht groß ist hat Nginx oder andere Webserver noch nie benutzt.

  14. Re: .htaccess ist die Pest

    Autor: Xiut 24.10.18 - 23:42

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Habe ich doch weiter oben schon geschrieben.
    > Roundcube.
    > Bisher 8 .htaccess Dateien.
    > Mit jedem Plugin kommt mindestens eine dazu und bei Updates ändern die sich
    > auch mal.
    >
    > TYPO3 mit Extensions im Moment 59 .htaccess Dateien.
    >
    > Piwik, jetzt Matomo hat gerade 11 Dateien.
    >
    > Wenn du Glück hast ändert sich nichts, aber trotzdem muss man bei jedem
    > Update alle Dateien vergleichen wenn man nicht Apache benutzen will.

    Also erst einmal geben alle die von dir genannten Beispiele ganz klar an, dass sie nicht Apache voraussetzen und auch unter Nginx, ja sogar mit 2-3 anderen Webservern funktionieren.
    Wieso sollte dann etwas in einer der beiliegenenen .htaccess Dateien geschrieben werden, was dringend erforderlich ist für die Software? Macht ja gar keinen Sinn... Oder würdest du ernsthaft behaupten, die machen schreiben Dinge in die .htaccess Dateien, die zwingend notwendig sind, damit die Software richtig funktioniert und vorraussetzen, dass .htaccess Dateien berücksichtigt werden? Dann zeig mir bitte mal eine dieser .htaccess Dateien :D

    Mal abgesehen davon, dass man ja mit nur 2-3 Befehlen leicht schauen kann, ob sich eine .htaccess Datei von z.B. Matomo verändert hat und das Ganze somit keine Minute dauert zu überprüfen, werden diese .htaccess Dateien meist einfach ZUSÄTZLICh hinzugefügt. Wenn sie berücksichtigt werden, ist es gut. Wenn nicht, ist es auch nicht tragisch.

    Im Code von Matomo steht sogar in einem Kommentar in der Datei, wo die .htaccess Dateien generiert werden folgendes:
    ".htaccess files are created on all webservers even Nginx, as sometimes Nginx knows how to handle .htaccess files"
    Quelle: https://github.com/matomo-org/matomo/blob/6e86748a39e4d3afcd96500d4f785bd013be577f/plugins/Installation/ServerFilesGenerator.php#L29

    Die Entwickler gehen entsprechend gar nicht davon aus, dass die zu 100% berücksichtigt werden (müssen). Sie werden eben nur für Apache und Nginx generiert, weil (nicht jeder) Apache und auch paar Nginx Server die .htaccess Dateien verstehen und man somit den Zugriff auf die entsprechenden Ordner und Dateien standardmäßig möglichst gut aufs nötigste reduzieren möchte, was ja auch richtig und sehr gut ist. Die paar .htaccess Dateien mit den paar Zeilen Code tun ja niemandem weh und können ja zu Not auch einfach ignoriert werden :D

    Für IIS 7 und höher ("for IIS 7 and above") werden auch entsprechende Dateien erstellt, aber eben nur wenn es sich bei dem Server auch um einen IIS Server handelt, weil deren web.config Dateien wohl kein Apache oder Nginx versteht.

    Ich weiß nicht zu 100% wie es bei Typo3 oder so ist, aber so lange angegeben wird, dass diese auch mit Nginx Servern kompatibel ist, ohne besondere Hinweise bezüglich der Einstellungen oder ähnliches, dann ist so ein Check gar nicht notwendig, weil die Dateien einfach zusätzlich für den Fall der Fälle da sind :D

  15. Re: .htaccess ist die Pest

    Autor: FreiGeistler 25.10.18 - 17:39

    Stepinsky schrieb:
    --------------------------------------------------------------------------------
    > Es ist einfach Realität, dass in vielen Frameworks bzw. CMS-Systemen
    > Plugins oder Erweiterungen eigene .htaccess Regeln mitbringen. Du musst
    > also nach einer Installation erst einmal alle Ordner scannen, ob dort
    > irgendwelche htaccess verwendet werden. Dann musst du die entsprechenden
    > Regeln übertragen - oft dürfen diese aber nur für einen speziellen Ordner
    > gelten, weil du sonst an anderer Stelle Probleme bekommst.
    > Ich wäre sehr, sehr interessiert daran, wie du das vorausschauend als Admin
    > händelst. Da du seine Admin-Fähigkeiten in deutlichen Worten anzweifelst,
    > suggerierst du, dass *DU* für so etwas eine Lösung hast.

    Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup nicht mit vhosts/Server Blocks vereinfachen? Damit hätte man verschiedene Domains voneinander getrennt, mit jeweils eigenen configs.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. RWE Supply & Trading GmbH, Essen, London (Großbritannien) oder Swindon (Großbritannien)
  2. über duerenhoff GmbH, Raum Bonn
  3. STRABAG BRVZ GmbH & Co. KG, Köln
  4. Senatsverwaltung für Bildung, Jugend und Familie, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-82%) 11,00€
  2. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...


Haben wir etwas übersehen?

E-Mail an news@golem.de