Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: http://redaxo.org/slack/
execrable
Beiträge: 40
Registriert: 4. Feb 2012, 13:29

Apache Modul mod_security

6. Feb 2012, 22:13

Hallo zusammen !

Ich nutze bei meinen Servern immer das Apache Modul mod_security. Das 4er Redaxo erzeugt dort eine Handvoll falsche Meldungen im Backend. Könnt ihr bei der 5er Entwicklung darauf Rücksicht nehmen, so das man nicht bestimmte Regeln im mod_security deaktivieren muss ?

Gruß
Exe

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

Re: Apache Modul mod_security

7. Feb 2012, 10:50

Hi Exe,

kannst du mal kurz umreisen was das Modul für dich tut und wo dabei die Probleme mit REDAXO entstehen?

Gruß,
Markus

execrable
Beiträge: 40
Registriert: 4. Feb 2012, 13:29

Re: Apache Modul mod_security

7. Feb 2012, 12:36

Hallo Markus !

Das Modul prüft die HTTP Aufrufe inkl. der Daten von POST/GET/HEAD usw. Das Modul versucht Injections oder gefährliche Namensräume auf zu zeigen, wie z.B. "?option=" oder "?include=", meldet Javascript Inhalte bzw. Bausteine oder sogar die klassichen SQL-Übergabeparameter in der URL.

Der Umfang der Prüfregeln ist recht hoch - je nach aktivierten Rulesets. Das Modul kann je nach Wertung einen Aufruf letztlich komplett blocken oder nur mit einer Warnung oder Info in der Logdatei quittieren.

Es gibt nur wenige Anwendungen die von Anfang an sauber mit dem Modul zusammen arbeiten und als Admin muss man dann einige Rules in der Vhosts deaktivieren. Es ist nicht viel Aufwand diese einzelnen Regeln zu deaktivieren und damit die Meldungen zu unterdrücken, nur können Sie einem dann bei der eigenen Programmierung/Schusseligkeit nicht mehr helfen :)

Wenn jemand mod_security ausprobieren möchte kann das recht einfach, da die meisten Distributionen das Modul im Repository anbieten. Man muss nur meistens die Rulesets manuell einbinden bzw. bei mod_security herunterladen und einbinden.

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

Re: Apache Modul mod_security

7. Feb 2012, 15:22

Hi,

klingt für mich jetzt erstmal nach einem ähnlichen Ansatz wie PHPIDS:
http://www.redaxo.org/de/forum/addons-f ... 15569.html

Nun die Frage: Welche konrekten Probleme hast du in der Kombination und wie sollen wir da weiterhelfen/darauf achten?

Gruß,
Markus

execrable
Beiträge: 40
Registriert: 4. Feb 2012, 13:29

Re: Apache Modul mod_security

7. Feb 2012, 16:27

Ja genau.

Nur ist PHPIDS deutlich später in der Verwertungskette und ist bei DDOS-Attacken oder Exploits angreifbarer - die haben alle ihre Schwachstellen/Macken.

Ich kann die Tage nochmals das Regelwerk auf einer meiner Domains zurücksetzen und gebe gerne Bescheid was ich so gefunden habe - allerdings nur bei Redaxo 4.x

Gruß
Exe

Zurück zu „Allgemeines [R5]“