Hallo,
der aktuelle Wurm stellt mich erneut vor die Frage, weshalb die config.php ausgerechnet im Installationsverzeichnis liegen muß.
Ich finde, solche wichtigen Dateien sollten von vornherein schon bei der Entwicklung und Programmierung grundsätzlich und prinzipiell in einem Verzeichnis liegen, das man leicht mit htaccess schützen kann, z.B. im Verzeichnis admin.
Denn legt man eine htaccess in das jetzige Hauptverzeichnis, dann kommt keiner mehr drann, der nicht ein Passwort hat. Damit ist nach jetzigem Zeitpunkt eine htaccess nur begrenzt einsetzbar, außer man macht sich ein Forum, wo man selber der einzige Benutzer ist. Da kann man sich dann selber die Meinung sagen.
Tipp an die Programmieren: Hier ist dringender Handlungsbedarf angesagt! Die config.php gehört ins admin-Verzeichnis!
Gruss
Schutz der config.php
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
Webcruiser
- Mitglied
- Beiträge: 20
- Registriert: 28.05.2004 17:47
- Wohnort: Berlin
- Kontaktdaten:
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
warum? nachdem der wurm mit webserver-rechten arbeitet und das php-exploit die session ausliest macht das keinen wirklichen unterschied...Tipp an die Programmieren: Hier ist dringender Handlungsbedarf angesagt! Die config.php gehört ins admin-Verzeichnis!
generell nutzt das verschieben der config.php innerhalb der webroot relativ wenig - nur wenn man das ganze ausserhalb der webroot (oder noch besser in der httpd.conf) platziert wird's objektiv sicherer - nichtsdestotrotz - wie wär's ganz einfach mit
Code: Alles auswählen
<Files config.php>
Deny from all
</Files>-
Nico Haase
- Mitglied
- Beiträge: 1100
- Registriert: 10.08.2003 15:19
- Wohnort: Neu-Anspach / Darmstadt
- Kontaktdaten:
Re: Schutz der config.php
du siehst in der sig meine homepageurl. dort rufst du mal das forum auf. du weißt ja, wo die config.php liegt, und wenn du mir den inhalt per pn schickst, dann kriegste noch ein weihnachtsgeschenk von mir. ehrlich!Webcruiser hat geschrieben:Tipp an die Programmieren: Hier ist dringender Handlungsbedarf angesagt! Die config.php gehört ins admin-Verzeichnis!
Buchtips.net bietet mehr als 2500 Buchrezensionen
