Hallo zusammen !
Ich nutze bei meinen Servern immer das Apache Modul mod_security. Das 4er Redaxo erzeugt dort eine Handvoll falsche Meldungen im Backend. Könnt ihr bei der 5er Entwicklung darauf Rücksicht nehmen, so das man nicht bestimmte Regeln im mod_security deaktivieren muss ?
Gruß
Exe
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Re: Apache Modul mod_security
Hi Exe,
kannst du mal kurz umreisen was das Modul für dich tut und wo dabei die Probleme mit REDAXO entstehen?
Gruß,
Markus
kannst du mal kurz umreisen was das Modul für dich tut und wo dabei die Probleme mit REDAXO entstehen?
Gruß,
Markus
Re: Apache Modul mod_security
Hallo Markus !
Das Modul prüft die HTTP Aufrufe inkl. der Daten von POST/GET/HEAD usw. Das Modul versucht Injections oder gefährliche Namensräume auf zu zeigen, wie z.B. "?option=" oder "?include=", meldet Javascript Inhalte bzw. Bausteine oder sogar die klassichen SQL-Übergabeparameter in der URL.
Der Umfang der Prüfregeln ist recht hoch - je nach aktivierten Rulesets. Das Modul kann je nach Wertung einen Aufruf letztlich komplett blocken oder nur mit einer Warnung oder Info in der Logdatei quittieren.
Es gibt nur wenige Anwendungen die von Anfang an sauber mit dem Modul zusammen arbeiten und als Admin muss man dann einige Rules in der Vhosts deaktivieren. Es ist nicht viel Aufwand diese einzelnen Regeln zu deaktivieren und damit die Meldungen zu unterdrücken, nur können Sie einem dann bei der eigenen Programmierung/Schusseligkeit nicht mehr helfen
Wenn jemand mod_security ausprobieren möchte kann das recht einfach, da die meisten Distributionen das Modul im Repository anbieten. Man muss nur meistens die Rulesets manuell einbinden bzw. bei mod_security herunterladen und einbinden.
Das Modul prüft die HTTP Aufrufe inkl. der Daten von POST/GET/HEAD usw. Das Modul versucht Injections oder gefährliche Namensräume auf zu zeigen, wie z.B. "?option=" oder "?include=", meldet Javascript Inhalte bzw. Bausteine oder sogar die klassichen SQL-Übergabeparameter in der URL.
Der Umfang der Prüfregeln ist recht hoch - je nach aktivierten Rulesets. Das Modul kann je nach Wertung einen Aufruf letztlich komplett blocken oder nur mit einer Warnung oder Info in der Logdatei quittieren.
Es gibt nur wenige Anwendungen die von Anfang an sauber mit dem Modul zusammen arbeiten und als Admin muss man dann einige Rules in der Vhosts deaktivieren. Es ist nicht viel Aufwand diese einzelnen Regeln zu deaktivieren und damit die Meldungen zu unterdrücken, nur können Sie einem dann bei der eigenen Programmierung/Schusseligkeit nicht mehr helfen
Wenn jemand mod_security ausprobieren möchte kann das recht einfach, da die meisten Distributionen das Modul im Repository anbieten. Man muss nur meistens die Rulesets manuell einbinden bzw. bei mod_security herunterladen und einbinden.
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Re: Apache Modul mod_security
Hi,
klingt für mich jetzt erstmal nach einem ähnlichen Ansatz wie PHPIDS:
http://www.redaxo.org/de/forum/addons-f ... 15569.html
Nun die Frage: Welche konrekten Probleme hast du in der Kombination und wie sollen wir da weiterhelfen/darauf achten?
Gruß,
Markus
klingt für mich jetzt erstmal nach einem ähnlichen Ansatz wie PHPIDS:
http://www.redaxo.org/de/forum/addons-f ... 15569.html
Nun die Frage: Welche konrekten Probleme hast du in der Kombination und wie sollen wir da weiterhelfen/darauf achten?
Gruß,
Markus
Re: Apache Modul mod_security
Ja genau.
Nur ist PHPIDS deutlich später in der Verwertungskette und ist bei DDOS-Attacken oder Exploits angreifbarer - die haben alle ihre Schwachstellen/Macken.
Ich kann die Tage nochmals das Regelwerk auf einer meiner Domains zurücksetzen und gebe gerne Bescheid was ich so gefunden habe - allerdings nur bei Redaxo 4.x
Gruß
Exe
Nur ist PHPIDS deutlich später in der Verwertungskette und ist bei DDOS-Attacken oder Exploits angreifbarer - die haben alle ihre Schwachstellen/Macken.
Ich kann die Tage nochmals das Regelwerk auf einer meiner Domains zurücksetzen und gebe gerne Bescheid was ich so gefunden habe - allerdings nur bei Redaxo 4.x
Gruß
Exe