Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist
Das sagt doch alles, oder?
Beispielsweise könnte bei falschen Berechtigungen die config.php aufgerufen werden und die wichtigen Daten würden offen liegen.
Dieses Risiko wird damit ausgeschlossen.
Es bingt absolut gar nichts, die Config-Datei zu verschieben oder zu schützen.
Wenn PHP als Modul läuft, dann ist es 100% unmöglich in sie hineinzusehen.
Wenn PHP als CGI läuft, dann müßte PHP sich selber abschalten ohne einen Fehler zu produzieren, damit man in den Quelltext von PHP Datein gucken zu können. Und das wäre ungefähr so, wie wenn man einen "Bluescreen" von Windows mit einem Fusstritt gegen den PC wieder "weg" bekommt ohne reboot.
Wenn PHP als Modul läuft, dann ist es 100% unmöglich in sie hineinzusehen.
das gilt sicherlich für den direkten aufruf - wenn allerdings irgendein mod ein entsprechendes include ermöglicht, könnte auch durchaus die config.php ziel eines angriffs sein
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
warum ist die config.php eigentlich nicht in dem "includes" oder "db" -Ordner? -unabhängig ob das was bringt (würde IMO den Schutz durch .htaccess erleichtern) aber rein von meiner Logik her würde ich diese Daten dort unterbringen
Die Verlagerung der config.php schützt vor allem vor dem Webmaster...
Allerdings hatten wir bei uns selbst den Fall schon mal, dass die PHP-Dateien nicht geparst wurden sondern im Quellcode ausgegeben wurden. Genaue Ursache natürlich nicht mehr nachstellbar - aber es kann wohl passieren.
Gruß, Philipp
Kein Support per PN! Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler) Meine Mods
erstmal habe ich mit erschrecken die ganzen Posts gesichtet. Mein erster Schritt wird wohl sein, die config-Datei ausserhalb meiner Domain zu plazieren. Mein Admin-Verzeichnis habe ich zwischenzeitlich gesichert. Würde ich ein anderen User als den des Admin benutzen, beständ trotzdem die Möglichkeit, das Passwort zu finden. Dann ist man doch der Gefahr genauso ausgesetzt, das Posts gelöscht bzw. geändert werden. Oder nicht?
Das Adminverzeichnis ist gesichert und unzugänglich.
Jetzt meine weitere Frage! Auf phpbb.de gibt es einige Interessante Mods, die ich auf meiner Seite eingerichtet habe (Etwa 15), und mir meine Arbeit sehr erleichtern!
Sind diese nicht auch ein potenzielles Risiko, indem man einfach die Variabel Passwort und Datenbankuser unbemerkt im Netz versendet? Auch Lokal merkt der User nichts davon, da durch das "@" Fehler unterdrückt werden.
Gibt es ein Verfahren, sich for solchen Dingen zu schützen bzw. vorher auf Sicherheitsmängel zu durchsuchen?
Ich teste die Mods alle als erstes Lokal auf meinem Rechner. Dabei bin ich auf die Idee gekommen, mit meinem HTML Editor alle "@" Zeichen zu entfernen. Dann wurden die Mods bis in den letzten Winkel geprüft.
Würde jetzt ein Versuch stattfinden, eine andere Datenbank ohne meines Wissens zu öffnen, oder eine E-Mail zu versenden, bekäme ich eine Fehlermeldung!
Eine absolute Sicherheit gibt es nie, aber man kann zumindest einen Teil ausschliessen.
