Hallo,
ich habe mein Board gerade mal auf neuesten Stand gebracht, was die Sicherheitspatches betrifft. Nun meide Frage: Welche Probleme gibt es, wenn ich register_globals=Off (php.ini) setze? Nachdem ich das geändert habe, konnte ich erst einmal nichts mehr posten und habe das gleich zurückgeändert.
Leider muss ich zugeben, dass ich immer noch die Version 2.0.1 benutze, und ich wegen der installierten Mods unmöglich eine neue Version installieren kann. Funktionieren denn neuere Versionen mit register_globals=Off korrekt bzw. ist es vielleicht nur bei mir ein Fehler?
Vielen Dank!
register_globals=Off
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
oxpus
- Ehemaliges Teammitglied
- Beiträge: 5395
- Registriert: 03.02.2003 12:33
- Wohnort: Bad Wildungen
- Kontaktdaten:
Dachte ich auch, aber viele Mods wollten bei mir nicht mehr korrekt arbeiten, bis ich die Übergabe der Variablen jedesmal selber eingebaut hatte.makue hat geschrieben:Ok, danke, dann werde ich mal ein bisschen suchen, es sollte ja nicht zu oft vorkommen.
Grüße
OXPUS
Kein Support bei unaufgeforderten PNs, E-Mails oder auf anderem Weg!!
OXPUS
Kein Support bei unaufgeforderten PNs, E-Mails oder auf anderem Weg!!
-
knalltrauma
- Mitglied
- Beiträge: 150
- Registriert: 06.05.2004 17:14
Genau das Gegenteil ist der Fall.knalltrauma hat geschrieben:Also bei meinem Hoster ist es auf OFF. Wenn ich jetzt auf ON stellen würde, laufen dann einige Mods nicht mehr?
Ich hab ein 2.0.8er am laufen
Code: Alles auswählen
register_globals = OnCode: Alles auswählen
register_globals = OFFIn deinem Fall ist also alles in Butter, und so lange es keine Probleme gibt, solltest du es auf "Off" lassen.
-
knalltrauma
- Mitglied
- Beiträge: 150
- Registriert: 06.05.2004 17:14
Nun...ich hab 1-2 "externe", ältere PHP-Scripts die ebenfalls über die DB laufen und nicht funktionieren da globals auf OFF sind. Nun würd ich gern mein PHPBB 2.0.10. auf ON stellen. Ist das dann wieder eine Sicherheitslücke?
Oder was könnte ich sonst machen? Leider kann ich die "älteren" Scripts nicht selber umschreiben
Und ich brauch die unbedingt (hab ich mal für viel Geld gekauft) Sauerei. Wenn ich schon 200 Dollar für Scripts bezahle erwarte ich eigentlich, dass die auch mir register_globals OFF arbeiten 
Oder was könnte ich sonst machen? Leider kann ich die "älteren" Scripts nicht selber umschreiben
Und ich brauch die unbedingt (hab ich mal für viel Geld gekauft) Sauerei. Wenn ich schon 200 Dollar für Scripts bezahle erwarte ich eigentlich, dass die auch mir register_globals OFF arbeiten ---------------------------------
=Es lebe die Liebe!=
=Es lebe die Liebe!=
Prinzipiell bzw. potentiell ist das eine Sicherheitslücke, ja. Aber...knalltrauma hat geschrieben:Nun...ich hab 1-2 "externe", ältere PHP-Scripts die ebenfalls über die DB laufen und nicht funktionieren da globals auf OFF sind. Nun würd ich gern mein PHPBB 2.0.10. auf ON stellen. Ist das dann wieder eine Sicherheitslücke?
... es gibt eine Lösung, wenn ein paar Bedingungen erfüllt sind.knalltrauma hat geschrieben:Oder was könnte ich sonst machen? Leider kann ich die "älteren" Scripts nicht selber umschreiben
Die Idee ist: "register_globals" lässt sich laut PHP-Handbuch nicht nur für alle Skripte ein-/ausschalten, sondern auch gezielt für einzelne Verzeichnisse.
Die Voraussetzungen: der Webhoster muss die Verwendung von .htaccess-Dateien zulassen und eben auch gestatten, PHP-Einstellungen darin zu ändern. Und: es macht nur Sinn, wenn deine besagten Skripte in eigenen Verzeichnissen liegen, denn .htaccess-Einstellungen beziehen sich i.d.R. auf das Verzeichnis, in dem sie liegen (inkl. aller Unterverzeichnisse).
Wenn diese Bedingungen erfüllt sind (ggf. einfach mal ausprobieren), dann ist die Lösung: erstell eine Textdatei mit Namen ".htaccess" (ohne die Anführungszeichen, is klar *g*). Da hinein gehört dann lediglich folgende Zeile:
Code: Alles auswählen
php_flag register_globals OnAuf die gleiche Weise lässt sich register_globals ausschalten (Off). Ob das funktioniert, hängt aber wie gesagt in erster Linie vom Webhoster ab; wenn er es zulässt, dann wäre das IMO die optimale Lösung für das Problem, weil damit gerade soviel Sicherheit aufgegeben wird, wie unbedingt nötig, damit alles funktioniert.
Und wenn er es nicht zulässt... naja, dann bleibt als Option wohl nur, es für alles anzuschalten (oder die Skripte zu wechseln, oder sie zu überarbeiten oder überarbeiten zu lassen
)Ciao,
Yann
-
knalltrauma
- Mitglied
- Beiträge: 150
- Registriert: 06.05.2004 17:14
Wow Yann! Vielen lieben Dank für diese ausführliche Antwort! Genial!
Ich werd das gleich mal mit meinem Kumpel besprechen. Sollte eigentlich kein Problem sein, da wir ja alles selber hosten
Ich werd hier nochmals kurz informieren, wenns funktioniert hat
Ich werd das gleich mal mit meinem Kumpel besprechen. Sollte eigentlich kein Problem sein, da wir ja alles selber hosten
Ich werd hier nochmals kurz informieren, wenns funktioniert hat
---------------------------------
=Es lebe die Liebe!=
=Es lebe die Liebe!=
