1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webapplikationen: Sicherheitslücke in…

.htaccess ist die Pest

  1. Thema

Neues Thema Ansicht wechseln


  1. .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 00:16

    Anstatt vernünftig zu dokumentieren was gemacht werden muss
    wird in den Projekten in jedes Verzeichnis eine .htaccess reingemüllt.
    Wer Nginx benutzt weiß dass das keine Freude ist.
    Bei jedem Update muss man alle .htaccess Dateien prüfen ob etwas
    verändert wurde und die Config anpassen.

  2. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 00:34

    Warum macht man das? Wenn du einen Webserver mit einer überschaubaren Anzahl an Projekten hast hast du doch sowieso pro (Sub)Domain eine Konfigdatei und kannst dein Regelmüll darüber konfigurieren. .htaccess als Erweiterung der Konfiguration brauchst doch eigentlich nur dann wenn du verschiedene User in verschiedenen Projekten hast die verschiedene Bereiche haben mit eigenen Verhalten welches über die .htaccess gesteuert wird und desöfteren Änderungen benötigt.

  3. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 00:59

    piros schrieb:
    --------------------------------------------------------------------------------
    > Warum macht man das? Wenn du einen Webserver mit einer überschaubaren
    > Anzahl an Projekten hast hast du doch sowieso pro (Sub)Domain eine
    > Konfigdatei und kannst dein Regelmüll darüber konfigurieren. .htaccess als
    > Erweiterung der Konfiguration brauchst doch eigentlich nur dann wenn du
    > verschiedene User in verschiedenen Projekten hast die verschiedene Bereiche
    > haben mit eigenen Verhalten welches über die .htaccess gesteuert wird und
    > desöfteren Änderungen benötigt.

    Die Anzahl an Domains hat doch damit nichts zu tun.
    In irgendeinem Projekt wie Roundcube oder einem CMS kommt ein Update und dort hast du einen neuen Ordner wo z.b. dieses jQuery Plugin benutzt wird.
    Jetzt muss man diesen neuen Ordner mit der .htaccess Dateien erstmal sehen und die neuen Regeln in der Nginx-Config einbauen und testen.

  4. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 01:32

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Die Anzahl an Domains hat doch damit nichts zu tun.
    > In irgendeinem Projekt wie Roundcube oder einem CMS kommt ein Update und
    > dort hast du einen neuen Ordner wo z.b. dieses jQuery Plugin benutzt wird.
    > Jetzt muss man diesen neuen Ordner mit der .htaccess Dateien erstmal sehen
    > und die neuen Regeln in der Nginx-Config einbauen und testen.

    Nach deinem erstem Satz dacht ich das wär eine persönliche Erfahrung mit eigenen Entwicklern die die .htaccess-Dateien in Unterverzeichnisse müllen. Wieso sollte ein CMS oder Projekt wie Roundcube etc einfach ein Update bekommen wo .htaccess Dateien rumgemüllt werden, wenn das für Projekt xy entwickelt wurde ist das auch integriert und eventuell ergänzende Regeln werden in das vorhandene Regelwerk aufgenommen. Und dabei wird auch nicht einfach das komplette Repository mitsamt Test-/Beispielscripten gecloned und übernommen.

  5. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 01:38

    piros schrieb:
    --------------------------------------------------------------------------------
    > Nach deinem erstem Satz dacht ich das wär eine persönliche Erfahrung mit
    > eigenen Entwicklern die die .htaccess-Dateien in Unterverzeichnisse müllen.
    > Wieso sollte ein CMS oder Projekt wie Roundcube etc einfach ein Update
    > bekommen wo .htaccess Dateien rumgemüllt werden, wenn das für Projekt xy
    > entwickelt wurde ist das auch integriert und eventuell ergänzende Regeln
    > werden in das vorhandene Regelwerk aufgenommen. Und dabei wird auch nicht
    > einfach das komplette Repository mitsamt Test-/Beispielscripten gecloned
    > und übernommen.

    Man merkt dass du noch nie solche Services installiert und betrieben hast.
    Das passiert einfach ständig.

  6. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 01:52

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Man merkt dass du noch nie solche Services installiert und betrieben hast.
    > Das passiert einfach ständig.

    Wenn dir das ständig passiert und du ständig "Arbeit" hast dadurch das du .htaccess Dateien abgleichst und Regeln in die Serverkonfiguration übernimmst sagt das wohl mehr über deine Fähigkeiten als Admin aus.

  7. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 02:12

    piros schrieb:
    --------------------------------------------------------------------------------
    > Wenn dir das ständig passiert und du ständig "Arbeit" hast dadurch das du
    > .htaccess Dateien abgleichst und Regeln in die Serverkonfiguration
    > übernimmst sagt das wohl mehr über deine Fähigkeiten als Admin aus.

    Die Services die .htaccess brauchen betreibe ich mit Apache weil der Aufwand
    zu groß ist. Aber du scheinst ja die große Leuchte zu sein und kannst uns
    allen hier bitte erklären wie man die ganzen .htaccess Dateien die z.B.
    Roundcube + Plugins und TYPO3 + Extensions so brauchen automatisiert
    in Nginx rein bekommt.
    Wenn das Fehlerfrei ohne ohne Testen funktioniert bekommst du auch
    eine Belohnung. 🤦‍♂️

  8. Re: .htaccess ist die Pest

    Autor: piros 24.10.18 - 02:59

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Die Services die .htaccess brauchen betreibe ich mit Apache weil der
    > Aufwand
    > zu groß ist. Aber du scheinst ja die große Leuchte zu sein und kannst uns
    > allen hier bitte erklären wie man die ganzen .htaccess Dateien die z.B.
    > Roundcube + Plugins und TYPO3 + Extensions so brauchen automatisiert
    > in Nginx rein bekommt.
    > Wenn das Fehlerfrei ohne ohne Testen funktioniert bekommst du auch
    > eine Belohnung. 🤦‍♂️

    Ich hab nie behauptet die große Leuchte zu sein, du hast mir sämtliche Kenntnisse abgesprochen ...
    ... zu deinem Problem, ich seh nicht wieso du Änderungen nicht einfach mergen kannst, in einer Entwicklungsumgebung, Differenz anschaun und testen, funktioniert -> live ansonsten debuggen.
    Wenn ein System wie Typo3 klar auf Funktionen eines Webservers setzt und du einen anderen einsetzt musst du halt auch mit Nachteilen leben. Syntax Converter gibt es schon und ansonsten kann man ja auch selbst was schreiben.

  9. Re: .htaccess ist die Pest

    Autor: Stepinsky 24.10.18 - 08:35

    piros schrieb:
    --------------------------------------------------------------------------------
    > Tragen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Wenn dir das ständig passiert und du ständig "Arbeit" hast dadurch das du
    > .htaccess Dateien abgleichst und Regeln in die Serverkonfiguration
    > übernimmst sagt das wohl mehr über deine Fähigkeiten als Admin aus.

    Es ist einfach Realität, dass in vielen Frameworks bzw. CMS-Systemen Plugins oder Erweiterungen eigene .htaccess Regeln mitbringen. Du musst also nach einer Installation erst einmal alle Ordner scannen, ob dort irgendwelche htaccess verwendet werden. Dann musst du die entsprechenden Regeln übertragen - oft dürfen diese aber nur für einen speziellen Ordner gelten, weil du sonst an anderer Stelle Probleme bekommst.
    Ich wäre sehr, sehr interessiert daran, wie du das vorausschauend als Admin händelst. Da du seine Admin-Fähigkeiten in deutlichen Worten anzweifelst, suggerierst du, dass *DU* für so etwas eine Lösung hast.

    > ... zu deinem Problem, ich seh nicht wieso du Änderungen nicht einfach
    > mergen kannst, in einer Entwicklungsumgebung, Differenz anschaun und
    > testen, funktioniert -> live ansonsten debuggen.
    Das ist jedenfalls nicht die Lösung. Klingt oberflächlich gut, hat aber mit der Praxis aber nichts real zu tun. Es geht hier nicht einfach um Code, sondern um das Übersetzen neuer Regeln in eine andere Syntax mit anderen Lösungswegen. Lass mich raten: du hast mit anderen Webservern wie nginx noch nichts zu tun gehabt?

  10. Re: .htaccess ist die Pest

    Autor: Xiut 24.10.18 - 12:47

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Anstatt vernünftig zu dokumentieren was gemacht werden muss
    > wird in den Projekten in jedes Verzeichnis eine .htaccess reingemüllt.
    > Wer Nginx benutzt weiß dass das keine Freude ist.
    > Bei jedem Update muss man alle .htaccess Dateien prüfen ob etwas
    > verändert wurde und die Config anpassen.

    Bei welchen Anwendungen ist das denn z.B. so extrem der Fall?
    Ich habe schon einiges an Software installiert und .htaccess Dateien lagen entweder nur für saubere URLs (mod_rewrite) drin, damit das unter Apache direkt funktioniert oder eben als zusätzlicher (!!) Schutz was den Zugriff auf Verzeichnisse angeht, wo entsprechend bloß ein "deny from all" drin steht.

    Alles andere würde ja die Kompatiblität allein auch unter den Apache Webservern stark reduzieren, weil da meist bis auf mod_rewrite und vielleicht 1-2 andere Modulen selten genau dasselbe wie bei anderen Apache Webservern installiert/aktiv sind.

    Entsprechend fände ich es mal interessant zu wissen, welche Software denn so extrem funktionierende .htaccess Dateien voraussetzen, wo wirklich so ein Aufwand notwendig ist, weil die sich auch noch hin und wieder mal ändern, also nicht nur alle paar jahre oder so.

  11. Re: .htaccess ist die Pest

    Autor: widdermann 24.10.18 - 12:56

    Dann benutze doch Apache HTTP Server, wenn dich das so stört? So groß ist der Unterschied zwischen den beiden nun auch nicht

  12. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 23:12

    Habe ich doch weiter oben schon geschrieben.
    Roundcube.
    Bisher 8 .htaccess Dateien.
    Mit jedem Plugin kommt mindestens eine dazu und bei Updates ändern die sich auch mal.

    TYPO3 mit Extensions im Moment 59 .htaccess Dateien.

    Piwik, jetzt Matomo hat gerade 11 Dateien.

    Wenn du Glück hast ändert sich nichts, aber trotzdem muss man bei jedem Update alle Dateien vergleichen wenn man nicht Apache benutzen will.

  13. Re: .htaccess ist die Pest

    Autor: Tragen 24.10.18 - 23:14

    widdermann schrieb:
    --------------------------------------------------------------------------------
    > Dann benutze doch Apache HTTP Server, wenn dich das so stört? So groß ist
    > der Unterschied zwischen den beiden nun auch nicht

    Mache ich ja zwangsweise leider wenn du oben gelesen hättest.

    Und wer behauptet dass der Unterschied nicht groß ist hat Nginx oder andere Webserver noch nie benutzt.

  14. Re: .htaccess ist die Pest

    Autor: Xiut 24.10.18 - 23:42

    Tragen schrieb:
    --------------------------------------------------------------------------------
    > Habe ich doch weiter oben schon geschrieben.
    > Roundcube.
    > Bisher 8 .htaccess Dateien.
    > Mit jedem Plugin kommt mindestens eine dazu und bei Updates ändern die sich
    > auch mal.
    >
    > TYPO3 mit Extensions im Moment 59 .htaccess Dateien.
    >
    > Piwik, jetzt Matomo hat gerade 11 Dateien.
    >
    > Wenn du Glück hast ändert sich nichts, aber trotzdem muss man bei jedem
    > Update alle Dateien vergleichen wenn man nicht Apache benutzen will.

    Also erst einmal geben alle die von dir genannten Beispiele ganz klar an, dass sie nicht Apache voraussetzen und auch unter Nginx, ja sogar mit 2-3 anderen Webservern funktionieren.
    Wieso sollte dann etwas in einer der beiliegenenen .htaccess Dateien geschrieben werden, was dringend erforderlich ist für die Software? Macht ja gar keinen Sinn... Oder würdest du ernsthaft behaupten, die machen schreiben Dinge in die .htaccess Dateien, die zwingend notwendig sind, damit die Software richtig funktioniert und vorraussetzen, dass .htaccess Dateien berücksichtigt werden? Dann zeig mir bitte mal eine dieser .htaccess Dateien :D

    Mal abgesehen davon, dass man ja mit nur 2-3 Befehlen leicht schauen kann, ob sich eine .htaccess Datei von z.B. Matomo verändert hat und das Ganze somit keine Minute dauert zu überprüfen, werden diese .htaccess Dateien meist einfach ZUSÄTZLICh hinzugefügt. Wenn sie berücksichtigt werden, ist es gut. Wenn nicht, ist es auch nicht tragisch.

    Im Code von Matomo steht sogar in einem Kommentar in der Datei, wo die .htaccess Dateien generiert werden folgendes:
    ".htaccess files are created on all webservers even Nginx, as sometimes Nginx knows how to handle .htaccess files"
    Quelle: https://github.com/matomo-org/matomo/blob/6e86748a39e4d3afcd96500d4f785bd013be577f/plugins/Installation/ServerFilesGenerator.php#L29

    Die Entwickler gehen entsprechend gar nicht davon aus, dass die zu 100% berücksichtigt werden (müssen). Sie werden eben nur für Apache und Nginx generiert, weil (nicht jeder) Apache und auch paar Nginx Server die .htaccess Dateien verstehen und man somit den Zugriff auf die entsprechenden Ordner und Dateien standardmäßig möglichst gut aufs nötigste reduzieren möchte, was ja auch richtig und sehr gut ist. Die paar .htaccess Dateien mit den paar Zeilen Code tun ja niemandem weh und können ja zu Not auch einfach ignoriert werden :D

    Für IIS 7 und höher ("for IIS 7 and above") werden auch entsprechende Dateien erstellt, aber eben nur wenn es sich bei dem Server auch um einen IIS Server handelt, weil deren web.config Dateien wohl kein Apache oder Nginx versteht.

    Ich weiß nicht zu 100% wie es bei Typo3 oder so ist, aber so lange angegeben wird, dass diese auch mit Nginx Servern kompatibel ist, ohne besondere Hinweise bezüglich der Einstellungen oder ähnliches, dann ist so ein Check gar nicht notwendig, weil die Dateien einfach zusätzlich für den Fall der Fälle da sind :D

  15. Re: .htaccess ist die Pest

    Autor: FreiGeistler 25.10.18 - 17:39

    Stepinsky schrieb:
    --------------------------------------------------------------------------------
    > Es ist einfach Realität, dass in vielen Frameworks bzw. CMS-Systemen
    > Plugins oder Erweiterungen eigene .htaccess Regeln mitbringen. Du musst
    > also nach einer Installation erst einmal alle Ordner scannen, ob dort
    > irgendwelche htaccess verwendet werden. Dann musst du die entsprechenden
    > Regeln übertragen - oft dürfen diese aber nur für einen speziellen Ordner
    > gelten, weil du sonst an anderer Stelle Probleme bekommst.
    > Ich wäre sehr, sehr interessiert daran, wie du das vorausschauend als Admin
    > händelst. Da du seine Admin-Fähigkeiten in deutlichen Worten anzweifelst,
    > suggerierst du, dass *DU* für so etwas eine Lösung hast.

    Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup nicht mit vhosts/Server Blocks vereinfachen? Damit hätte man verschiedene Domains voneinander getrennt, mit jeweils eigenen configs.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. CHECK24 Services GmbH, München
  2. Eurowings Aviation GmbH, Köln
  3. Deutsche Rentenversicherung Bund, Berlin
  4. DATIS IT - Services GmbH, Mannheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 9,99€
  2. 4,32€
  3. 3,99€
  4. (-53%) 13,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Concept One ausprobiert Oneplus lässt die Kameras verschwinden
  3. Alienware Concept Ufo im Hands on Die Switch für Erwachsene

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

  1. Mobile Games: Stillfront kauft Storm 8 für bis zu 400 Millionen US-Dollar
    Mobile Games
    Stillfront kauft Storm 8 für bis zu 400 Millionen US-Dollar

    Zwei in der Öffentlichkeit so gut wie unbekannte Spielefirmen und viel Geld: Der Publisher Stillfront kauft für bis zu 400 Millionen US-Dollar den kalifornischen Entwickler Storm 8. Stillfront steckt unter anderem hinter den umstrittenen deutschen Goodgame Studios.

  2. Glasfaser: M-net errichtet Bayernring und verbindet sich mit DE-CIX
    Glasfaser
    M-net errichtet Bayernring und verbindet sich mit DE-CIX

    M-net kündigt die Fertigstellung des Bayernrings an und hat schon neue Ziele: Ende 2020 ist die Nord-Ost-Spange fertig, von Frankfurt über Würzburg, Nürnberg und Erlangen zurück nach München. Sie kommt auf der Strecke ohne elektrooptische Wandler aus.

  3. Fusionsreaktor Iter: Das Eine-Million-Teile-Puzzle in der entscheidenden Phase
    Fusionsreaktor Iter
    Das Eine-Million-Teile-Puzzle in der entscheidenden Phase

    Die Gebäude sind weitgehend fertig, jetzt wird es richtig spannend am Iter: der Bau des Reaktors, in dem künftig die Kernfusion getestet werden soll. 2025 soll der Reaktor erstmals in Betrieb gehen. Bis dahin ist noch viel zu tun.


  1. 12:37

  2. 12:22

  3. 12:00

  4. 11:40

  5. 11:28

  6. 11:00

  7. 10:47

  8. 10:32