phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Schutz sensibler phpBB-Dateien bzw. -Verzeichnisse

https://www.phpbb.de/community/viewtopic.php?t=222944

Seite 1 von 1

Schutz sensibler phpBB-Dateien bzw. -Verzeichnisse

Verfasst: 22.05.2012 10:56
von Anon
Den Installationshinweisen von phpBB entnehme ich, dass man die Unterverzeichnisse /cache, /files und /store aus Sicherheitsgründen mit einem Verzeichnisschutz versehen sollte. Bei meinem Webhoster habe ich grundsätzlich die Möglichkeit, Verzeichnisse mit einem Passwortschutz zu versehen.
Nun habe ich festgestellt, dass in folgenden Verzeichnissen jeweils schon eine .htaccess-Datei
enthalten ist, die ich nicht selbst (über den Passwortschutz des Webhosters) erzeugt habe:
/cache, /files, /includes, /store
Die .htaccess-Dateien sind wohl im Zuge der Installation erstellt worden. Wenn ich diese Verzeichnisse mit dem Browser aufrufen möchte, bekomme ich eine Error 403-Fehlermeldung. Sind diese Verzeichnisse also schon geschützt? Ist dieser Schutz dann ausreichend? Ist auch der Zugriff von außen auf die von phpBB erzeugte Datenbank abzusichern?

Re: Schutz sensibler phpBB-Dateien bzw. -Verzeichnisse

Verfasst: 22.05.2012 14:45
von AYYILDIZLAR
Hallo,

Hier hast du ein wenig Lesestoff KB:36 vorallem der zweite Absatz mit "Die Insallation" könnte deine Fragen beantworten.
Anon hat geschrieben:Ist auch der Zugriff von außen auf die von phpBB erzeugte Datenbank abzusichern?
Falls du die BackUp Funktion der Datenbank von phpBB im ACP meinst, habe ich beide Module der BackUp Funktion unter Wartung/Datenbank aus dem System gelöscht und somit schonmal den Zugriff auf die Module durch das Entfernen der Module erschwert. Ich denke so ist das ein wenig abgesichert.

Grüße

Re: Schutz sensibler phpBB-Dateien bzw. -Verzeichnisse

Verfasst: 22.05.2012 16:08
von mad-manne
Anon hat geschrieben:Die .htaccess-Dateien sind wohl im Zuge der Installation erstellt worden. Wenn ich diese Verzeichnisse mit dem Browser aufrufen möchte, bekomme ich eine Error 403-Fehlermeldung. Sind diese Verzeichnisse also schon geschützt?
Ein korrekt konfigurierter WebServer wird diese Dateien niemals an einen Client(Browser) "ausliefern" !!

Im konkreten Fall sind auch die Verzeichnisse nicht passwort-geschützt sondern mittels der in den mitgelieferten htaccess-Dateien festgelegten Regeln. Dieses besagen, dass keine Dateien aus diesen Ordnern vom Webserver an Clients ausgeliefert werden dürfen! Das bedeutet, dass Dateien in keinem Falle angezeigt werden, auch nicht mit einem Kennwort.

Code: Alles auswählen

<Files *>
	Order Allow,Deny
	Deny from All
</Files>
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de