Problem mit SecureSSI

amdebian64 · Beitrag von **amdebian64** » 20.02.2007 16:33

Hallo,
ich habe die SuFu genutzt, aber leider keine Thema gefunden was mein Problem beheben konnte.

Also folgendes, ich wollte gerne das Forum auf dem gleichen Webspace wo auch meine HP liegt haben. Dazu habe ich einfach einen neuen Ordner namens "forum" erstellt, die Daten hochgeladen und installiert.

Lief auch bis dahin alles super, und hat alles funktioniert.

Jetzt kam ich allerdings auf die Idee, dass ich den Login auch gerne auf meiner HP haben würde, damit wenn sich User auf meiner HP registrieren Sie auch gleich im Forum registriert sind.

Dazu habe ich einfach an der gewünschten Stelle diesen Code eingefügt:

Code: Alles auswählen

<? include("/forum/login.php"); ?>

Wenn ich jetzt aber auf meine Homepage gelange, finde ich da keinen Loginbereich, sondern ein Sicherheitsmeldung:

SecureSSI: Das Script (/usr/export/www/hosting/amdebian64/index.php) hat versucht, ausserhalb von seinem Userverzeichniss, auf die Datei /forum/login.php zuzugreifen.
Aus Sicherheitsgruenden ist dies nicht erlaubt!

Ich muss dazu sagen, ich beschäftige mich erst seid ein paar tagen mit PHP, und habe da nu noch nid so den Plan von.

Ist mein Vorhaben irgendwie möglich, und wenn ja was muss ich ändern?

Ich hoffe hier kann mir wer helfen, vielen Dank schon mal im voraus für Eure Bemühungen!

tom971 · Beitrag von **tom971** » 20.02.2007 16:46

Hy
das liegt an CHMOD von login.php. Da speziell ändern von Rechten auf diesen Fail sehr gefährlich ist, und du greifst auf login.php auserhalb von 1.Forum root wurde die ein anderen Weg für Anmeldung empfehlen. Z. B Weiterleitung
Servus Tom

Master_D · Beitrag von **Master_D** » 21.02.2007 09:48

Also so wie ich das lese ist der Fehler ganz einfach zu beheben, denn du versuchst eine Date außerhalb des Webroot zu includen.

der richtige Code müsste eigendlich so aussehen, dann sollte es funktionieren:

Code: Alles auswählen

<? include("./forum/login.php"); ?>

Der Code den du benutzt greift auf das Verzeichniss "/forum/" zu, aber du willst auf das Verzeichniss "/usr/export/www/hosting/amdebian64/forum/" zugreifen, daher einfach darauf achten, keine absoluten Includes zu verwenden, da die schonmal zu solchen Fehlern führen können.

Ambience · Beitrag von **Ambience** » 21.02.2007 10:20

@Master_D, du hast völlig unrecht...

Dieser fehler liegt meistens an den CHMOD(KB:chmod) oder an nicht vorhanden Dateien, zumindestens bei mir.

@amdebian64: Du könntest dir einmal diesen Artikel KB:phpbb_login durchlesen, danach solltest du auch ein funktionierendes Login haben.

Durch den Einbau eines Formulars für das Login hast du im Grunde die Weiterleitungsmetode von tom971

Master_D · Beitrag von **Master_D** » 22.02.2007 13:58

ICh könnte jetzt mal richtig was auspacken, aber lassen wir das.

der / ist bei Unix-Systemen immer als Root-Directory anzusehen, ein Aufruf von der art /etc öffnet das standartverzeichnis für Konfigurationsdateien. Eine Anfrage der Srt ./etc jedoch greift auf das Konfigurationsverzeichnis unterhalb des derzeitigen Verzeichnisses zu. Wäre das ein chmod-Fehler würde die ausgabe normalerweise ungefähr so aussehen:

SecureSSI: Das Script (/usr/export/www/hosting/amdebian64/index.php) hat versucht auf die Datei /forum/login.php zuzugreifen.
Da die Datei einem anderen User gehört, kann diese nicht geöffnet werden.
Aus Sicherheitsgruenden ist dies nicht erlaubt!

Nur als Beispiel.

Die Aussage : ..., ausserhalb von seinem Userverzeichniss,...
lässt normalerweise darauf schließen, das man das Userverzeichniss: /usr/export/www/hosting/amdebian64/ verlassen hat, und in höheren Pfadebenen unterwegs ist.

Ich behaupte ja nicht, das es das unbedingt sein muss, aber es ist sehr wahrscheinlich. Wenn jemand diese Argumentation widerlegen kann, so soll er das doch bitte tun, ich lerne gerne dazu.