phpBB.de

Hallo,

ich habe mein Board gerade mal auf neuesten Stand gebracht, was die Sicherheitspatches betrifft. Nun meide Frage: Welche Probleme gibt es, wenn ich register_globals=Off (php.ini) setze? Nachdem ich das geändert habe, konnte ich erst einmal nichts mehr posten und habe das gleich zurückgeändert.

Leider muss ich zugeben, dass ich immer noch die Version 2.0.1 benutze, und ich wegen der installierten Mods unmöglich eine neue Version installieren kann. Funktionieren denn neuere Versionen mit register_globals=Off korrekt bzw. ist es vielleicht nur bei mir ein Fehler?

Vielen Dank!

Die Version 2.0.8 arbeitet damit korrekt. Sollte die Version 2.0.1 normal aber auch machen. Aber viele MOD-Schreiber achten da nicht drauf.

Grüße
Dennis

Ok, danke, dann werde ich mal ein bisschen suchen, es sollte ja nicht zu oft vorkommen.

makue hat geschrieben:Ok, danke, dann werde ich mal ein bisschen suchen, es sollte ja nicht zu oft vorkommen.

Dachte ich auch, aber viele Mods wollten bei mir nicht mehr korrekt arbeiten, bis ich die Übergabe der Variablen jedesmal selber eingebaut hatte.

Also bei meinem Hoster ist es auf OFF. Wenn ich jetzt auf ON stellen würde, laufen dann einige Mods nicht mehr?

Ich hab ein 2.0.8er am laufen

knalltrauma hat geschrieben:Also bei meinem Hoster ist es auf OFF. Wenn ich jetzt auf ON stellen würde, laufen dann einige Mods nicht mehr?

Ich hab ein 2.0.8er am laufen

Genau das Gegenteil ist der Fall.
bedeutet maximale Kompatibilität, bringt aber potentielle Sicherheitsrisiken mit sich.
bedeutet, dass viele (insbesondere ältere) PHP-Anwendungen nicht mehr funktionieren, verführt aber zu besserem Code.

In deinem Fall ist also alles in Butter, und so lange es keine Probleme gibt, solltest du es auf "Off" lassen.

Nun...ich hab 1-2 "externe", ältere PHP-Scripts die ebenfalls über die DB laufen und nicht funktionieren da globals auf OFF sind. Nun würd ich gern mein PHPBB 2.0.10. auf ON stellen. Ist das dann wieder eine Sicherheitslücke?

Oder was könnte ich sonst machen? Leider kann ich die "älteren" Scripts nicht selber umschreiben Und ich brauch die unbedingt (hab ich mal für viel Geld gekauft) Sauerei. Wenn ich schon 200 Dollar für Scripts bezahle erwarte ich eigentlich, dass die auch mir register_globals OFF arbeiten

knalltrauma hat geschrieben:Nun...ich hab 1-2 "externe", ältere PHP-Scripts die ebenfalls über die DB laufen und nicht funktionieren da globals auf OFF sind. Nun würd ich gern mein PHPBB 2.0.10. auf ON stellen. Ist das dann wieder eine Sicherheitslücke?

Prinzipiell bzw. potentiell ist das eine Sicherheitslücke, ja. Aber...

knalltrauma hat geschrieben:Oder was könnte ich sonst machen? Leider kann ich die "älteren" Scripts nicht selber umschreiben Und ich brauch die unbedingt (hab ich mal für viel Geld gekauft) Sauerei. Wenn ich schon 200 Dollar für Scripts bezahle erwarte ich eigentlich, dass die auch mir register_globals OFF arbeiten

... es gibt eine Lösung, wenn ein paar Bedingungen erfüllt sind.

Die Idee ist: "register_globals" lässt sich laut PHP-Handbuch nicht nur für alle Skripte ein-/ausschalten, sondern auch gezielt für einzelne Verzeichnisse.

Die Voraussetzungen: der Webhoster muss die Verwendung von .htaccess-Dateien zulassen und eben auch gestatten, PHP-Einstellungen darin zu ändern. Und: es macht nur Sinn, wenn deine besagten Skripte in eigenen Verzeichnissen liegen, denn .htaccess-Einstellungen beziehen sich i.d.R. auf das Verzeichnis, in dem sie liegen (inkl. aller Unterverzeichnisse).

Wenn diese Bedingungen erfüllt sind (ggf. einfach mal ausprobieren), dann ist die Lösung: erstell eine Textdatei mit Namen ".htaccess" (ohne die Anführungszeichen, is klar *g*). Da hinein gehört dann lediglich folgende Zeile:
Diese Datei dann per FTP in das Verzeichnis hochladen, in dem die betreffenden Skripte liegen, und mit etwas Glück funktioniert alles.

Auf die gleiche Weise lässt sich register_globals ausschalten (Off). Ob das funktioniert, hängt aber wie gesagt in erster Linie vom Webhoster ab; wenn er es zulässt, dann wäre das IMO die optimale Lösung für das Problem, weil damit gerade soviel Sicherheit aufgegeben wird, wie unbedingt nötig, damit alles funktioniert.
Und wenn er es nicht zulässt... naja, dann bleibt als Option wohl nur, es für alles anzuschalten (oder die Skripte zu wechseln, oder sie zu überarbeiten oder überarbeiten zu lassen )

Ciao,

Yann

Wow Yann! Vielen lieben Dank für diese ausführliche Antwort! Genial!

Ich werd das gleich mal mit meinem Kumpel besprechen. Sollte eigentlich kein Problem sein, da wir ja alles selber hosten

Ich werd hier nochmals kurz informieren, wenns funktioniert hat