Seite 3 von 17
Re: register_globals=off & magic_quotes_gpc=on
Verfasst: 30.12.2005 03:51
von IPB_Flüchtling
larsneo hat geschrieben:ich denke, es wäre schon ganz sinnvoll im acp auf register_globals=off und magic_quotes_gpc=on zu prüfen - alleine mit diesen beiden einstellungen kann man eine menge an typischen exploit-code unterbinden - und bei nahezu jedem provider kann man das - falls nicht bereits in der default-konfig eingetragen - via .htaccess nachträglich setzen.
Hi larsneo,
könntest Du vielleicht, wenn es Deine Zeit erlaubt, mehr zu diesem Thema schreiben? *bitte*bitte*bitte*
Habe gerade den CrackerTracker-Sicherheitscheck durchgeführt und folgende Ergebnisse erhalten:
PHP Safe Mode deaktiviert UNSICHER
PHP Globals aktiviert UNSICHER
Kann ich da wirklich einfach über .htaccess gegensteuern? Wenn ja, wie? Welche potenziellen Probleme sind zu befürchten?
Ich weiß, dass meine Fragen gerade jetzt, kurz vor dem Jahreswechsel, eine ziemliche Zumutung darstellen. Wenn Du trotzdem irgendwann einmal die Zeit finden solltest, einem Blinden die Farben zu erklären, wäre das toll!
Auf jeden Fall wünsche ich einen guten Rutsch und alles Gute für 2006!
LG, IPB_Flüchtling
Verfasst: 30.12.2005 07:42
von snookerboy
Das Update von der 0.17 zur 0.18 war mit der Anleitung überhaupt keine Problem.
Selbst jemand wie ich, mit rudimentärem Hintergrundwissen hat das locker hinbekommen.
Bisher waren es zwei Faker nach dem Update. Vorher warens locker 10 - 15 am Tag.
Hat sich also schon mal gelohnt.
Peter
Verfasst: 30.12.2005 08:08
von larsneo
PHP Safe Mode deaktiviert UNSICHER
PHP Globals aktiviert UNSICHER
Kann ich da wirklich einfach über .htaccess gegensteuern? Wenn ja, wie? Welche potenziellen Probleme sind zu befürchten?
soweit dein provider die verwendung von .htaccess erlaubt kannst du dort
Code: Alles auswählen
# set magic quotes settings on
php_flag magic_quotes_gpc on
# set register_globals=off
php_flag register_globals off
setzen (siehe auch
*hier*).
erweiterungen die mit diesen einstellungen probleme haben sollten imho schlichtweg ausgesondert werden, da sie aller wahrscheinlichkeit nach generelle sicherheitsprobleme haben.
weitere infos:
using register globals
magic quotes
Verfasst: 30.12.2005 09:59
von snookerboy
Hi,
wie müsste denn eine Verzeichnis .htaccess komplett aussehen?
Ich hab mir eine erstellt und entsprechend hochgeladen, bekomme aber dann einen Fehler und das Forum wird nicht geöffnet.
Sorry, aber so viel Ahnung hab ich leider net...
Gruß
Peter
Verfasst: 30.12.2005 11:42
von S2B
@larsneo: Was bringt es denn, die magic_quotes anzuschalten? Soweit ich das sehe, verwendet das phpBB doch eine eigene Routine und schaltet die Magic Quotes davor aus!?
Verfasst: 30.12.2005 14:39
von h-o
larsneo hat geschrieben:soweit dein provider die verwendung von .htaccess erlaubt kannst du dort
Hmm, das funktioniert normalerweise nur, falls PHP auf dem Apacheserver als Modul läuft.
Die meisten Hoster verwenden aber die CGI-Variante - hier gibt's mit "php_flag ..." in der .htaccess einen "Internal Server Error".
ciao
h-o
Verfasst: 30.12.2005 16:06
von DSB
S2B hat geschrieben:@larsneo: Was bringt es denn, die magic_quotes anzuschalten? Soweit ich das sehe, verwendet das phpBB doch eine eigene Routine und schaltet die Magic Quotes davor aus!?
Für phpBB mag das stimmen aber es laufen ja bestimmt noch andere Scripte auf einem Server. Magic_quotes=on bringt etwas mehr Sicherheit - gerade bei Scripten, die nicht unbedingt von Sicherheitsprofis programmiert wurden.
Du glaubst ja gar nicht wie viele unsicher programmierte Gästebücher, Counter, Bannerverwaltungen, Linklisten, toplisten, usw... es gibt, bei denen man durch einfache SQL-Injection in sicherheitsrelevante Bereiche kommt und Schaden anrichten kann.
Bei den neueren PHP-Versionen hat PHP da selbst einen Riegel vorgeschoben, aber es gibt immer noch sehr viele Server auf denen alte Versionen laufen (siehe z.B. die Standard-PHP-Version auf Stratoservern).
Verfasst: 30.12.2005 16:59
von nils754
So Leute,
phpBB 2.0.19 ist da. Also updaten!!!
Verfasst: 30.12.2005 19:43
von IPB_Flüchtling
@larsneo:
Vielen Dank für den .htaccess-Code und die Links! Werde ich mir zu Gemüte führen, sobald mein Board auf dem Stand 2.0.19 angekommen ist.
Einen guten Rutsch Euch allen und die besten Wünsche für 2006!
LG, IPB_Flüchtling
Verfasst: 31.12.2005 10:12
von snookerboy
So,
das Update ist gemacht, jetzt schaun wir mal ob wieder Fakeaccounts auftauchen...
Jetzt brauch ich nmur noch ne funktionierende Lösung für die Gasteintragsfaker... Die kommen nämlich seit gestern Abend rein...Leider.
Hat da von Euch jemand evtl.ne Lösung?
Gruß
Peter