[3.3] Fehler: Profil speichern mit Homepage-Link

[Apus]

Hallo zusammen,

mir ist heute aufgefallen, dass meine User ihre Profile nicht speichern können wenn unter "Homepage" eine Webseite angegeben ist. Es erscheint stattdessen eine 403-Fehlerseite, in den Serverlogs lautet der Fehler:

[Sun Jul 27 16:45:24.564352 2025] [security2:error] [pid (Pid):tid (Tid)] [client (Server-IP)] ModSecurity: [file "/etc/httpd/conf/modsecurity.d/rules/tortix/modsec/50_plesk_basic_asl_rules.conf"] [line "1650"] [id "33340686"] [rev "4"] [msg "Protected by Atomicorp.com Basic Non-Realtime WAF Rules: Remote File Injection attempt in ARGS"] [severity "CRITICAL"] Access denied with code 403 (phase 2). Match of "beginsWith http://%{SERVER_NAME}/" against "MATCHED_VAR" required. [hostname "(meine Domain)"] [uri "/ucp.php"] [unique_id "aIY7hDFnyY797QnmhSB25AAAABY"], referer: https://www.(meine Domain).de/ucp.php?i=ucp_profile&mode=profile_info

Als Admin kann ich ein Profil im ACP ("Benutzer administrieren" => "Profil") aber problemlos trotz enthaltenem Link abspeichern. Mir ist nicht ganz klar, wie und warum der Hoster (Alfahosting) hier anscheinend eine Unterscheidung macht. Leider kann ich auch nicht mehr nachvollziehen, seit welchem Update dieses Problem auftritt - hat jemand von Euch evtl. das gleiche Problem bei Alfahosting?

[cpg]

Moin,

das scheint daran zu liegen, dass die UserInnen http statt https eingegeben haben(?)

Code: Alles auswählen

Access denied with code 403 (phase 2). Match of "beginsWith http://%{SERVER_NAME}/" against "MATCHED_VAR" required. [hostname "(meine Domain)"] [uri "/ucp.php"] [unique_id "aIY7hDFnyY797QnmhSB25AAAABY"], referer: https://www.(meine Domain).de/ucp.php?i=ucp_profile&mode=profile_info

[chris1278]

@apus

Schau dir mal in deinem Forum die .htaccess Datei an, die im Forenroot liegt. Also die in dem Verzeichnis liegt, wo auch die config.php liegt.

Prüfe mal, ob dieser Eintrag vorhanden ist:

Code: Alles auswählen

<IfModule mod_rewrite.c>
	RewriteEngine On
	RewriteCond %{HTTPS} !=on
	RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

Ansonsten füge diesen mal ein.

Und hier noch etwas Lesestoff:

KB Artikel: Umstellung auf https://

Im Normalfall, wenn richtig eingerichtet ist, sollte es egal sein, ob deine Domains mit http oder https aufgerufen werden. Das endet normalerweise immer in https

[Apus]

Moin,

das scheint daran zu liegen, dass die UserInnen http statt https eingegeben haben(?)

Das war auch mein erster Verdacht, aber das ist es nicht: Egal, ob man mit https:// oder http:// die Adresse im eigenen Profil unter "Website" (nicht "Homepage", sorry) eingibt, führt es beides Mal zum gleichen Fehler. Dann dürfte es ja im Admin-Bereich auch nicht funktionieren, denke ich.

(Der Eintrag ist in der .htaccess vorhanden, dürfte aber demnach nicht das Problem verursachen, richtig? Es geht ja auch nicht um die Adresse des Forums, sondern lediglich um einen Eintrag im Profil.)

[dom_beta]

Es geht ihm darum, dass die Adressen nicht gespeichert werden, die im Profil eingetragen werden, wie beispielsweise memberlist.php?mode=viewprofile&u=88733 hier.

Dabei fällt mir ein, ich tippe bei mir mal eine ein.

memberlist.php?mode=viewprofile&u=190446

Also hier funktioniert es. Sind vielleicht irgendwelche Dateien beschädigt?

[Apus]

Ja genau, das ist das Problem. Lässt man dagegen den Eintrag "Website" leer, kann das Profil gespeichert werden.

@dom_beta: Hostest Du auch bei Alfahosting?

[dom_beta]

Nein, wir hatten damals das Forum bei 1&1 gehabt.

Aber wenn ich deine Fehlmeldung so durchlese, wirkt es auf mich, als ob entweder irgendeine Datei fehlt oder beschädigt ist.

Hilft das vielleicht?

https://support.plesk.com/hc/en-us/arti ... -whitelist

Alternativ den Hoster anschreiben oder dessen Support anrufen.

[Apus]

Ich habe den Fehler gefunden: Nachdem ich die Web Application Firewall für die Domain bei Alfahosting deaktiviert habe, funktioniert auch das Speichern des eigenen Profils wieder sobald ein Eintrag unter "Website" vorhanden ist.

Ob das jetzt Sinn der Firewall ist, sei mal dahingestellt. Werde den Support mal anschreiben und darauf hinweisen.

Danke für Eure Antworten!

[dom_beta]

Freut mich, dass du den Fehler gefunden hast.

Was mich wundert ist, dass du so viel auf dem Webserver einstellen kannst. Ein spezielles Setup?