phpBB.de

CB250G hat geschrieben:Hallo,
...
Ich habe mein Forum bei denselben Hoster...
...
Gruß Achim

bantu hat geschrieben:Das Problem ist bekannt (siehe Buglink, oben).
...
Jeder, der im Moment Probleme damit hat, sollte mal drüber nachdenken, ob das Setup seines Servers so auch wirklich sicher ist.

So gesehen wäre dieses Forum auch nicht soooo sicher untergebracht...

Gruß Achim

bantu hat geschrieben:Das Problem ist bekannt (siehe Buglink, oben).
...
phpBB setzt die Rechte so aus gutem Grund.
Jeder, der im Moment Probleme damit hat, sollte mal drüber nachdenken, ob das Setup seines Servers so auch wirklich sicher ist.

Hi bantu,

wie soll ich das nun verstehen?
Ist das nun ein Bug oder ein gewollte Funktion?

Wenn es ein Bug ist, gibt es bereits eine Abhilfe dazu?

Wenn es so gewollt ist, wie soll man dann ein vollständiges Backup machen, ohne vorher die Rechte für entsprechenden Dateien zu ändern?

Irgendwie habe ich den Eindruck, dass hier in dem Thema nur um den heißen Brei herumgeredet wird und man keine klare Ansage bekommt.

Es ist ein Bug. 0644 Dateien lassen sich ohne Probleme sichern, das passt schon. Ich wüsste nicht, warum Dateien mit dem 0644 Attribut nicht sicher sein sollten.
phpBB3 verändert aber durch den Bug so die Datei-Attribute, das man diese Dateien nicht mehr selber sichern kann und das hat nichts mehr mit Sicherheit zu tun.
Dann hätten wir aber lange eine Sicherheitslücke drin gehabt.

Es wurde aus Sicherheitsgründen eine Funktion eingeführt, die den von phpBB gespeicherten Dateien nachdem sie geschrieben wurden einen möglichst eingeschränkten chmod-Wert zuweist. Ziel war es zu gewährleisten, dass ein weiterer Kunde auf dem gleichen Server nicht in der Lage ist z.B. Dateien aus dem Cache-Verzeichniss auszulesen weil diese "world-readable" sind, also von allen Benutzern gelesen werden können.

Nach diesem Verfahren hat der FTP-Benutzer genau dann keinen Zugriff mehr auf die geschriebene Datei, wenn der FTP-Benutzer nicht in der Gruppe ist für den die Datei erstellt wurde und FTP-Benuter und PHP-Benutzer nicht übereinstimmen.

Bei allen anderen Verfahren müssen die von PHP angelegten Dateien world-readable sein, was unter Umständen zu obigem Problem (Dateien können von Fremden gelesen werden) führen kann, aber nicht muss.

---

CB250G hat geschrieben:

CB250G hat geschrieben:Hallo,
...
Ich habe mein Forum bei denselben Hoster...
...
Gruß Achim

bantu hat geschrieben:Das Problem ist bekannt (siehe Buglink, oben).
...
Jeder, der im Moment Probleme damit hat, sollte mal drüber nachdenken, ob das Setup seines Servers so auch wirklich sicher ist.

So gesehen wäre dieses Forum auch nicht soooo sicher untergebracht...

Gruß Achim

phpBB.de hat seinen eigenen Server. Folglich laufen auf dem Server sowieso nur phpBB.de-Prozesse, wobei es diese Problematik in der Art garnicht gibt.

---

redbull254 hat geschrieben:Ich wüsste nicht, warum Dateien mit dem 0644 Attribut nicht sicher sein sollten.

Die letzte vier bedeutet, dass jeder der Zugriff auf das Verzeichniss hat, auch die Datei lesen kann. Besser wäre: 0640, d.h. der Besitzer (das ist in der Regel der PHP-Benutzer) kann die Dateien bearbeiten (Schreiben), die Gruppe lesen. Hier könnte man das Problem ja bereits lösen, wenn man den FTP-Benutzer einfach in die Gruppe steckt. Dann kann man lesen, aber nicht jeder darf lesen.

---

Ich hoffe ich habe alles richtig erklärt und habe keinen Müll erzählt ... ist schon spät.

bantu hat geschrieben: ...
Ziel war es zu gewährleisten, dass ein weiterer Kunde auf dem gleichen Server nicht in der Lage ist z.B. Dateien aus dem Cache-Verzeichniss auszulesen weil diese "world-readable" sind, also von allen Benutzern gelesen werden können
...

Hallo bantu,

also ich komme mit meinen ftp-Benutzerdaten nur in meinen Webspace Bereich rein.

Wie sollte dann ein anderer der mit auf dem Server sitzt, auf "normalen" Wege, in meinen Webspace kommen???

Davon mal abgesehen, wo es geht doch um die Bilder und Avatare und nicht um den Cache geht...

Wenn der nicht per ftp Lesbar ist, ist es doch egal...

Gruß Achim

Und nu?

Gibt es inzwischen ein Lösung?

Nein, es ist nur eine Sicherung, bzw, Euer FTP Account ist nicht in der gleichen Gruppe wie der Account, der die phpBB Scripte laufen lässt.
Beide Pseudo User sollten in der gleichen Gruppe sein.
Helfen könnte Euch entweder der Hoster ( der steckt Euren FTP User in die Script-Ausführungsgruppe ) oder Ihr nutzt das bereits gepostete Script um alle Dateien einem anderen CHMOD zuzuweisen.

Dr.Death hat geschrieben:oder Ihr nutzt das bereits gepostete Script um alle Dateien einem anderen CHMOD zuzuweisen.

Vielleicht das Script hier im DL Bereich zur Verfügung stellen? Ich kann mir vorstellen das da noch einige auflaufen werden.
Mit Joomla passiert der selbe Zirkus auch andauernd.

Naja, es ist hier bereits gepostet: http://www.phpbb.de/community/viewtopic ... 0#p1065718 und hat nichts direkt mit phpBB zu tun, sondern nur mit einer falschen CHMOD Zuweisung seitens der Hoster.

Dr.Death hat geschrieben:Helfen könnte Euch entweder der Hoster ( der steckt Euren FTP User in die Script-Ausführungsgruppe )...

Das macht mein Hoster aus Sicherheitsgründen nicht.