Hallo, lieber Forumbenutzer. Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen Möglichkeiten der Kommunikation ist das Forum ein wenig eingeschlafen und weniger Nutzer benutzen das Forum aktiv (trotzdem lohnt es sich evtl. hier nach Lösungen zu suchen oder seine Frage zu stellen).

Wir empfehlen, für deine Fragen/Probleme aktuell (zusätzlich) Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: http://redaxo.org/slack/
BHCL
Beiträge: 14
Registriert: 1. Mär 2008, 15:48

Der Ordner redaxo/include ist unsicher.

10. Mär 2008, 15:07

Ich habe gerade Redaxo auf einem Server kopiert und möchte es jetzt installieren. Habe Schritt für Schritt gemacht und erhalte jetzt folgende Fehlermeldung:
Der Ordner redaxo/include ist unsicher. Bitte schützen Sie diesen Ordner und starten das Setup erneut!
Ich hab jetzt alles möglich mit CHMOD Rechten ausprobiert. Hat jemand einen Tipp?

gpo
Beiträge: 322
Registriert: 28. Mär 2006, 02:10

10. Mär 2008, 15:10

htaccess ist da?

BHCL
Beiträge: 14
Registriert: 1. Mär 2008, 15:48

10. Mär 2008, 15:13

Ja, ist sie. Ich hab sie mal kopiert!

RewriteEngine Off
Deny from all
AuthUserFile ./user.psw
AuthGroupFile /dev/null
AuthName "Include Folder"
AuthType Basic
require valid-user

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

10. Mär 2008, 15:28

Hi BHCL,

Willkommen bei REDAXO.

Bitte das nächste mal die Suche verwenden, bzw mal ins FAQ/die Doku schauen:
http://wiki.redaxo.de/index.php?n=R4.FAQ#htaccess

Gruß,
Markus

missmissr
Beiträge: 175
Registriert: 9. Mär 2008, 18:36

10. Mär 2008, 20:04

Hallo,

ich hatte das übrigens auch. Ich habe mit dem Browser Firefox die Installation gestartet.

Zuerst hatte ich per chmod alle Dateien auf 777 gesetzt, dann kam die Fehlermeldung. Dann habe ich den include Ordner und die Datei master.inc.php im include Ordner auf 775 gesetzt. Dann ging es in Firefox immer noch nicht. Ich dacht, jetzt müsste ich den Provider bemühen, um AllowOverride auf Alll zu setzen, aber irgendwie kam ich dann noch auf die Idee, mit meinem Browser Safari die Installation noch einmal zu starten und siehe da, die Fehlermeldung war weg und die Installation auszuführen ohne dass der Provider an der Apache-Konfiguration was ändern musste. Die Rechte ließ ich auf 775 für den include und die Datei master.inc.php. Ich hatte das Gefühl, dass mein Firefox irgendetwas gecached hatte, ich kann mich aber täuschen. Ich habe in Firefox den Browserchace nicht geleert. Safari (ich hab einen Mac) hingegen hatte weder Cookies noch einen Verlauf bzw. History gecached und war also jungfräulich. Was micht denken lässt, vielleicht hätte ein Browsercacheleeren auch geholfen. Ich weiß es nicht, ich schreib euch einfach mal meine Erfahrung.

Bis dann, missmissr.

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

10. Mär 2008, 20:15

Hi nochmal,

nur um das klar zustellen, diese Fehlermeldung hat nichts mit Berechtigungen von Ordnern o.ä. zu tun..

Viele Grüße,
Markus

Benutzeravatar
snooops
Beiträge: 14
Registriert: 17. Apr 2009, 09:48
Wohnort: Waiblingen
Kontaktdaten: Website

17. Apr 2009, 09:56

Ich habe mir gerade ein kleines Debian mit PHP5 MySQL und Apache2 installiert und wollte mir nun mal redaxo angucken. Zu meinem erstaunen über die Fehlermeldung und die ausführliche Dokumentation bin ich nun in diesem Thread gelandet. Ich kann nicht nachvollziehen warum ich oder ein Provider die Einstellung AllowOverride All setzen sollte. Welche Einstellungen werden von Redaxo modifiziert bzw. benötigt? Ich konnte diese Information leider nicht dem Wicki entnehmen. Ebenso musste ich über die Zeile schmunzeln (kontaktieren Sie ihren Webmaster) ich denke mal in 80% aller Fälle ist man das selber.

Viele Grüße,
Dennis Meyer

Benutzeravatar
snooops
Beiträge: 14
Registriert: 17. Apr 2009, 09:48
Wohnort: Waiblingen
Kontaktdaten: Website

20. Apr 2009, 09:28

So Wochenende ist rum, und ich bin diesbzgl. immer noch dumm :P
wär cool wenn sich ein wissender Entwickler dazu äusern könnte.
Gruß der snooops

Benutzeravatar
snooops
Beiträge: 14
Registriert: 17. Apr 2009, 09:48
Wohnort: Waiblingen
Kontaktdaten: Website

27. Apr 2009, 09:20

Und wieder ist eine Woche vergangen ohne eine Antwort zu erhalten. Wissen die Entwickler nicht was ich meine oder was Ihre Konfigurationsanforderung überhaupt bedeutet?
Bitte jetzt mal eine Antwort, kann doch nicht so schwer sein einen parameter zu beschreiben den man benötigt.
Gruß Snooops

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

27. Apr 2009, 13:34

Hi,

das AllowOverride All ist nötig, damit aus der .htaccess im Installationsverzeichnis von REDAXO heraus die Werte berücksichtigt werden.

In XAMPP ist es von Haus aus nicht erlaubt, via HTACCESS die einstellungen vorzunehmen, die wir verwenden, um das include Verzeichnis abzusichern.

Viele Grüße,
Markus

Benutzeravatar
snooops
Beiträge: 14
Registriert: 17. Apr 2009, 09:48
Wohnort: Waiblingen
Kontaktdaten: Website

27. Apr 2009, 14:17

Hi Markus,
dessen war ich mir bereits bewusst. Dennoch ist es so, und da wirst du mir rechtgeben müssen, das allowoverride all eine Servereinstellung ist die durchaus Sicherheitslücken aufmacht oder gar vergrößert. Allowoverride All hat zur Folge das man ALLE Einstellungen der Apache Konfiguration überschreiben kann, Benutzer könnten einen .htaccess geschützten PHPMyAdmin öffnen durch einen simplen FileUpload. Sowas darf nicht passieren, deshalb nochmals die bitte diesen Anspruch zu korrigieren. Wenn die Skripte innerhalb des Verzeichnisses geschützt werden sollen tuts auch ein einfaches
if (!defined(REDAXO_ONLY)) die();
in der ersten zeile eines jeden Skripts, so wie es andere CMS ebenfalls machen, und eigentlich auch guter Standard ist. Schliesslich hat man nicht immer einen Apache zur Verfügung hat.
Die Trennung zwischen Sicherheit und Logik ist nicht immer einfach, dazu kommt noch die Sicherheit zwischen Service und Modul.
Gruß,
Snooops

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

29. Apr 2009, 09:26

Hi,

evtl wäre es kurzfristig auch eine Option dass man statt AllowOverrideAll eine andere Direktive verwendet, die nur die von uns benötigten Bereiche zum überschreiben freigibt.... Allerdings bin ich da nicht drinnen in der Materie. So wie es sich anhört könntest du da aber nen Tipp geben..?

Grüße,
Markus

manuxi
Beiträge: 2
Registriert: 31. Mai 2018, 21:32

Re: Der Ordner redaxo/include ist unsicher.

31. Mai 2018, 21:54

Ich wärme diesen Thread nochmal auf:
Ich evaluiere gerade ein paar CMS, da ich dafür entwickeln möchte. Habe wor ein paar Jahren bereits für Typo3 entwickelt, aber für kleine Seiten ist das einfach zu mächtig. Ich entwickle auf Windows 10 - bisher auf xampp, ahbe aber devilbox entdeckt und probiere das mal aus.
Da bin ich gerade mit Apache 2.4, php 7.26 und mysql 5.6 unterwegs. Den ersten Versuch wage ich mit der aktuellsten Version, 5.5.1.

Erster Haken, Installation, Schritt 3: Ordner cache/data/src nicht sicher (.htaccess vorhanden, AllowOverride auch auf All) - merkwürdig - aber im Quellcode stand ja der Link zum nächsten Schritt... o0 Daher hat die Installation dann doch funktioniert.

Fertig gestellt und bei "Struktur" gelandet (wie gesagt, ich beschäftige mich zwar schon lange mit php & Co., aber bin absoluter Redaxo-Neuling). Dort erwartet mich: "The folder redaxo/src is insecure. Please protect this folder." *nerv*

Konsole zeigt mir 3 Zugriffsversuche auf Dateien:
[...]/redaxo/data/.redaxo 403 (Forbidden)
[...]/redaxo/cache/.redaxo 403 (Forbidden)
[...]/redaxo/bin/console 403 (Forbidden)

Über meinen Browser ist [...]/redaxo/src ebensowenig zu erreichen, wie die anderen Verzeichnisse oder Dateien - bekomme einen 403er - so solls ja auch sein, oder?

Hat jemand eine Idee, wie ich die lästige Fehlermeldung weg bekomme bzw. woran es liegt, dass sie erscheint?

(Daneben unter "Struktur" übrigens 3 weitere (php-) Fehlermeldungen:
Warning: count(): Parameter must be an array or an object that implements Countable in [...]/redaxo/src/addons/structure/pages/index.php on line 29
Warning: count(): Parameter must be an array or an object that implements Countable in [...]/redaxo/src/addons/structure/pages/index.php on line 114
Warning: count(): Parameter must be an array or an object that implements Countable in [...]/redaxo/src/addons/structure/pages/index.php on line 132
passt jetzt nicht so ganz zum schicken Rest... :o)

Edit: habe es eben gefunden,php 7.2 Kompatibilität heißt das Stichwort...)

AndiLeni
Beiträge: 2
Registriert: 25. Aug 2018, 18:35

Re: Der Ordner redaxo/include ist unsicher.

23. Okt 2018, 18:47

Ich habe aktuell das selbe Problem.
Wie genau hast du es gelöst?

Zurück zu „Allgemeines [R4]“