Hi,
du musst deinen Hoster fragen:
Wie kann ich den Ordner redaxo/include so konfigurieren, dass dieser via Webbrowser nicht mehr erreichbar ist.
Viele Grüße,
Markus
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Hallöchen,
ich habe/hatte das gleiche Problem, und ich bin selber der Hoster
Betreibe R4 auf einem W2K-Server, und darunter gibt es keine mir bekannte Möglichkeit, die Rechte für den User 'IUSR_XXXXX' so einzutragen, daß der Setup funktioniert. - Habe alle Einstellungen probiert, bevor ich dann einen manuellen Workaround s.u. unternahm. - Falls jemand einen besseren Hinweis hat, wäre ich dankbar.
Mein Vorschlag wäre in dem Fall
- entweder das include-Verzeichnis außerhalb des Webspace anzulegen, also mit lokalem Webserver-Pfad
- oder, die Installation mit Warnhinweis (ist ja ok...) trotzdem durchzuführen, d.h. den Weiter-zum-Schritt-3 Button anzuzeigen
sonst kommt man da auf keinen grünen Zweig...
Abgesehen davon, unter einer neuen Standard-Installation von MySql 5.0.27 sowie PHP 5.2.4 läuft der Redaxo-Setup unter Windows sowieso nicht wirklich... (ist schon Tieferes nötig z.B. MYSQL40-Kompatibiltät einschalten... Php.Ini Session-Space anders setzen... usw. usf.)
Bestehen da Gedanken einen kleinen Artikel zu dem Thema zu verfassen oder gibt es den schon und ich hab ihn nicht gefunden?
Beste Grüße
Jürgen
ich habe/hatte das gleiche Problem, und ich bin selber der Hoster
Betreibe R4 auf einem W2K-Server, und darunter gibt es keine mir bekannte Möglichkeit, die Rechte für den User 'IUSR_XXXXX' so einzutragen, daß der Setup funktioniert. - Habe alle Einstellungen probiert, bevor ich dann einen manuellen Workaround s.u. unternahm. - Falls jemand einen besseren Hinweis hat, wäre ich dankbar.
Mein Vorschlag wäre in dem Fall
- entweder das include-Verzeichnis außerhalb des Webspace anzulegen, also mit lokalem Webserver-Pfad
- oder, die Installation mit Warnhinweis (ist ja ok...) trotzdem durchzuführen, d.h. den Weiter-zum-Schritt-3 Button anzuzeigen
sonst kommt man da auf keinen grünen Zweig...
Abgesehen davon, unter einer neuen Standard-Installation von MySql 5.0.27 sowie PHP 5.2.4 läuft der Redaxo-Setup unter Windows sowieso nicht wirklich... (ist schon Tieferes nötig z.B. MYSQL40-Kompatibiltät einschalten... Php.Ini Session-Space anders setzen... usw. usf.)
Bestehen da Gedanken einen kleinen Artikel zu dem Thema zu verfassen oder gibt es den schon und ich hab ihn nicht gefunden?
Beste Grüße
Jürgen
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Hi Jürgen,
Lösung 2 würde zu sehr vielen unsicheren Systemen führen, absolut unmöglich!
Viele Grüße,
Markus
Es gibt z.b. .htaccess für Windowsjwillers hat geschrieben:Betreibe R4 auf einem W2K-Server, und darunter gibt es keine mir bekannte Möglichkeit, die Rechte für den User 'IUSR_XXXXX' so einzutragen, daß der Setup funktioniert. - Habe alle Einstellungen probiert, bevor ich dann einen manuellen Workaround s.u. unternahm. - Falls jemand einen besseren Hinweis hat, wäre ich dankbar.
Lösung 1 funktioniert nicht, da sonst die Pfade alle nicht mehr passenjwillers hat geschrieben: Mein Vorschlag wäre in dem Fall
- entweder das include-Verzeichnis außerhalb des Webspace anzulegen, also mit lokalem Webserver-Pfad
- oder, die Installation mit Warnhinweis (ist ja ok...) trotzdem durchzuführen, d.h. den Weiter-zum-Schritt-3 Button anzuzeigen
sonst kommt man da auf keinen grünen Zweig...
Lösung 2 würde zu sehr vielen unsicheren Systemen führen, absolut unmöglich!
Aus welchem Grund geht das nicht? Welche der verwendeten Dinge geht mit MySQL5 nicht, aber im Compat Mode?jwillers hat geschrieben: Abgesehen davon, unter einer neuen Standard-Installation von MySql 5.0.27 sowie PHP 5.2.4 läuft der Redaxo-Setup unter Windows sowieso nicht wirklich... (ist schon Tieferes nötig z.B. MYSQL40-Kompatibiltät einschalten... Php.Ini Session-Space anders setzen... usw. usf.)
Viele Grüße,
Markus
Hi,
Kompatibilität...naja, also z.B. eben -> dieses Problem hatte ich auch.
Keine Fehlermeldung (war wohl unterdrückt), aber der Admin-User wurde einfach nicht angelegt, weil die Spalten NULL-Werte enthielten, und das ist für MySql5 im Standard nicht mehr zulässig. -
Aber überhaupt, was die Windows-Installation angeht, ein anderes Ding ist z.B. die PHP-Sessionverwaltung unter Windows. Der PHP-Installer, aber auch die Zip-Version liefern einen memory-orientierten Garbage-Collector mit, der im Zusammenspiel mit MySql den Speicher zumüllt
[ externes Bild ]
oder aber, weit schlimmer die Daten nach genau 24 Minuten einfach zerstört -> Verbindungsabbruch im lfd. Betrieb bis zum nächsten Browseraufruf. - In der Php.ini stehen einige Dinge dazu, insbesondere wie man die Daten eben in ein Verzeichnis auf der Platte rausschreibt. - Seither habe ich keine Probleme mehr damit...
die Windows-Installation ist nicht ganz trivial. - Aber, was das Rechteproblem betrifft, mit dieser Angelegenheit schlagen sich alle dynamischen Systeme herum. Oft ist es so gelöst daß es eine Config-Datei gibt, in der der lokale Pfad steht. Dieser wird dann in eine globale Variable geschrieben und dort jeweils abgegriffen.
Wird wohl immer so sein: Solange Code in irgendeinem von außen sichtbaren Verzeichnis steht (d.h. Webspace), solange kannst du dir nie sicher sein. Ein miskonfigurierter Server schmeißt dir sowieso den Code auf den Bildschirm und dann bist du froh wenn du keine harten Passwort-Zuweisungen etc. drin hast...
Grüßle an alle, Jürgen
Kompatibilität...naja, also z.B. eben -> dieses Problem hatte ich auch.
Keine Fehlermeldung (war wohl unterdrückt), aber der Admin-User wurde einfach nicht angelegt, weil die Spalten NULL-Werte enthielten, und das ist für MySql5 im Standard nicht mehr zulässig. -
Aber überhaupt, was die Windows-Installation angeht, ein anderes Ding ist z.B. die PHP-Sessionverwaltung unter Windows. Der PHP-Installer, aber auch die Zip-Version liefern einen memory-orientierten Garbage-Collector mit, der im Zusammenspiel mit MySql den Speicher zumüllt
[ externes Bild ]
oder aber, weit schlimmer die Daten nach genau 24 Minuten einfach zerstört -> Verbindungsabbruch im lfd. Betrieb bis zum nächsten Browseraufruf. - In der Php.ini stehen einige Dinge dazu, insbesondere wie man die Daten eben in ein Verzeichnis auf der Platte rausschreibt. - Seither habe ich keine Probleme mehr damit...
die Windows-Installation ist nicht ganz trivial. - Aber, was das Rechteproblem betrifft, mit dieser Angelegenheit schlagen sich alle dynamischen Systeme herum. Oft ist es so gelöst daß es eine Config-Datei gibt, in der der lokale Pfad steht. Dieser wird dann in eine globale Variable geschrieben und dort jeweils abgegriffen.
Wird wohl immer so sein: Solange Code in irgendeinem von außen sichtbaren Verzeichnis steht (d.h. Webspace), solange kannst du dir nie sicher sein. Ein miskonfigurierter Server schmeißt dir sowieso den Code auf den Bildschirm und dann bist du froh wenn du keine harten Passwort-Zuweisungen etc. drin hast...
Grüßle an alle, Jürgen
Sorry, will dir in dem Fall nicht wiedersprechen, aber auch wenn die Auswirkung ähnlich ist sind der von mir beschriebene Fall und deiner 2 verschiedene.jwillers hat geschrieben:Hi,
Kompatibilität...naja, also z.B. eben -> dieses Problem hatte ich auch.
....
Bei mir WERDEN User in der DB angelegt und auch die Abfrage stimmt.
Wie bereits in dem anderen Topic erwähnt eher ein Session als ein DB Problem. Aber das weiss wohl nur einer der Entwickler
Wegener IT - Integration & Collaboration
Hallo, noch mal zu dem Problem " redaxo/include ist unsicher"
Ich habe mal meinem Provider geschrieben - Host Europe und gefragt:
Wie kann ich den Ordner redaxo/include so konfigurieren, dass dieser via Webbrowser nicht mehr erreichbar ist
und bekomme folgende Antwort:
auf einem WebPack M 2.0 wird eine .htaccess Datei leider nicht unterstützt, Sie können jedoch den Zugriffsschutz im KIS nutzen
Dat verstehe ich jetzt mal nich mehr. Im Verzeichnis liegt eine _.htaccess - zusätzlich habe ich einen Verzeichnisschutz eingerichtet. Trotzdem lässt sich R4 nicht installieren. Konkret bedeutet das, ich muss aufrüsten? Ein WebPack der .htaccess unterstützt?
MfG
Ich habe mal meinem Provider geschrieben - Host Europe und gefragt:
Wie kann ich den Ordner redaxo/include so konfigurieren, dass dieser via Webbrowser nicht mehr erreichbar ist
und bekomme folgende Antwort:
auf einem WebPack M 2.0 wird eine .htaccess Datei leider nicht unterstützt, Sie können jedoch den Zugriffsschutz im KIS nutzen
Dat verstehe ich jetzt mal nich mehr. Im Verzeichnis liegt eine _.htaccess - zusätzlich habe ich einen Verzeichnisschutz eingerichtet. Trotzdem lässt sich R4 nicht installieren. Konkret bedeutet das, ich muss aufrüsten? Ein WebPack der .htaccess unterstützt?
MfG
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Das sind ja u.U. zwei leicht unabhängige Probleme.
Dass die htaccess nicht unterstützt wird bedeutet ja nicht automatisch Unsicherheit. kills hat ja weiter oben beschrieben wie man das testen kann. Wenn der Test scheitert (also die php-Datei nicht direkt aufgerufen werdne kann), ist dein Server sicher.
Bleibt nur noch der Punkt, dass die htaccess die Grundkonfiguration des Servers nicht überschreiben kann ("allowoverride none" in der Apache-Konfig). Und genau dass scheint die R4-Installation abzuprüfen, nämlich ob die htaccess "akzeptiert" wird. Macht aber im Zweifel nix.
Warum willst Du direkt auf dem Webspace testen? Mach's lokal. Und wenn die Webseite fertig ist: wupp den ganzen Krempel per FTP / Mysqladmin hoch. Dann ist auch das Installationsproblem weg - oder bin ich zu optimistisch
Gruß
Christoph
Dass die htaccess nicht unterstützt wird bedeutet ja nicht automatisch Unsicherheit. kills hat ja weiter oben beschrieben wie man das testen kann. Wenn der Test scheitert (also die php-Datei nicht direkt aufgerufen werdne kann), ist dein Server sicher.
Bleibt nur noch der Punkt, dass die htaccess die Grundkonfiguration des Servers nicht überschreiben kann ("allowoverride none" in der Apache-Konfig). Und genau dass scheint die R4-Installation abzuprüfen, nämlich ob die htaccess "akzeptiert" wird. Macht aber im Zweifel nix.
Warum willst Du direkt auf dem Webspace testen? Mach's lokal. Und wenn die Webseite fertig ist: wupp den ganzen Krempel per FTP / Mysqladmin hoch. Dann ist auch das Installationsproblem weg - oder bin ich zu optimistisch
Gruß
Christoph
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Hi,
Auf welche Art & Weise man es arrangiert, dass der Ordner geblockt ist, ist REDAXO egal. Es werden keine Serverspezifischen Konfigurationen o.ä. ausgelesen
Gruß,
Markus
REDAXO versucht eine Datei aus dem Include path einzubinden und wenn das funktioniert, dann wird das SETUP "angehalten".chris-b hat geschrieben:Bleibt nur noch der Punkt, dass die htaccess die Grundkonfiguration des Servers nicht überschreiben kann ("allowoverride none" in der Apache-Konfig). Und genau dass scheint die R4-Installation abzuprüfen, nämlich ob die htaccess "akzeptiert" wird. Macht aber im Zweifel nix.
Auf welche Art & Weise man es arrangiert, dass der Ordner geblockt ist, ist REDAXO egal. Es werden keine Serverspezifischen Konfigurationen o.ä. ausgelesen
Gruß,
Markus
- Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
kills hat geschrieben:Hi,
PHP Fehlermeldungen dürfen hier nicht kommen!
Kontaktiere deinen Provider und besprich mit Ihm, wie du erreichen kannst, dass dieser Ordner nicht mehr von "außen" erreichbar ist.
Da die "standard Methode" mit der .htaccess Datei nicht funktioniert, können wir dir hier nicht weiterhelfen.
Das ist absolut notwendig, damit deine Seite nicht angegriffen werden kann!
Viele Grüße,
Markus
Der Ordner redaxo/include ist unsicher.
Hallo,
ich möchte Redaxo erstmal lokal installieren. Was muss ich denn unter Windows XP genau machen um das Verzeichnis zu schützen????
Danke
Gruß gaudi123
ich möchte Redaxo erstmal lokal installieren. Was muss ich denn unter Windows XP genau machen um das Verzeichnis zu schützen????
Danke
Gruß gaudi123
Setz allowoverride auf true
http://httpd.apache.org/docs/2.0/mod/co ... owoverride
http://httpd.apache.org/docs/2.0/mod/co ... owoverride
- Peter.Bickel
- Beiträge: 1856
- Registriert: 25. Jan 2005, 21:17
- Wohnort: Schleswig-Holstein
- Kontaktdaten: Website
Mal was gaanz anderes:
Wenn's um das lokale Testen von Redaxo geht, so dürfte für Euch interessant sein, dass Andreas Eberhard in wenigen Tagen einen RedaxoWinstaller anbieten wid, der genau das tut: Apache, PHP und MySQL samt zwei Redaxo-Demos lokal auf einem Windows-Rechner installieren, so dass man in Ruhe offline testen kann. Und das, ohne dass im Windows-System irgendetwas verändert wird (keine Deinstallation nötig)
Die Adresse zum Download und für weitere Infos wird sein:
http://redaxowinstaller.de/
Viele Grüße,
Peter.
Wenn's um das lokale Testen von Redaxo geht, so dürfte für Euch interessant sein, dass Andreas Eberhard in wenigen Tagen einen RedaxoWinstaller anbieten wid, der genau das tut: Apache, PHP und MySQL samt zwei Redaxo-Demos lokal auf einem Windows-Rechner installieren, so dass man in Ruhe offline testen kann. Und das, ohne dass im Windows-System irgendetwas verändert wird (keine Deinstallation nötig)
Die Adresse zum Download und für weitere Infos wird sein:
http://redaxowinstaller.de/
Viele Grüße,
Peter.
- Andreas.Eberhard
- Beiträge: 653
- Registriert: 4. Dez 2006, 17:03
- Wohnort: Kirchheim bei München
- Kontaktdaten: Website
Hallo,
und jetzt ist es endlich soweit.
Unter http://redaxowinstaller.de steht jetzt die aktuelle Version 4.0 von Redaxo zum Download bereit!
Viele Grüße
Andreas
und jetzt ist es endlich soweit.
Unter http://redaxowinstaller.de steht jetzt die aktuelle Version 4.0 von Redaxo zum Download bereit!
Viele Grüße
Andreas
REDAXOWinstaller - Der Windows-Installer für REDAXO
http://rex.andreaseberhard.de
Mein Wunschzettel ...
http://rex.andreaseberhard.de
Mein Wunschzettel ...
-
- Beiträge: 20
- Registriert: 3. Aug 2007, 14:52
- Wohnort: Berlin
include trotz Passwort unsicher
Hallo an alle,
ich muss das Thema unsicherer include-Ordner nochmal aufgreifen.
Die Homepage, um die es geht, liegt bei T-Online, das ja bekanntlich keine .htaccess zum Schützen von Verzeichnissen erlaubt.
Sollte ein Verzeichnisschutz nötig sein, empfiehlt T-Online folgendes Vorgehen via .access-Datei: http://www.georg-burkhard.privat.t-onli ... swort.html
Das habe ich getan und die .access in der beschriebenen Weise angelegt. Der Test über Webbrowser zeigt, dass Dateien aus dem include-Ordner NICHT aufgerufen werden können, das Verzeichnis also sicher ist.
Trotzdem meldet das Redaxo-Setup (4.0) nach wie vor, der include-Ordner sei unsicher.
Gibt es da vielleicht noch irgendwelche heißen Tipps (außer Liebesbriefe an den Provider)?
Vielen Dank im Voraus und viele Grüße,
Meike Stoverock
ich muss das Thema unsicherer include-Ordner nochmal aufgreifen.
Die Homepage, um die es geht, liegt bei T-Online, das ja bekanntlich keine .htaccess zum Schützen von Verzeichnissen erlaubt.
Sollte ein Verzeichnisschutz nötig sein, empfiehlt T-Online folgendes Vorgehen via .access-Datei: http://www.georg-burkhard.privat.t-onli ... swort.html
Das habe ich getan und die .access in der beschriebenen Weise angelegt. Der Test über Webbrowser zeigt, dass Dateien aus dem include-Ordner NICHT aufgerufen werden können, das Verzeichnis also sicher ist.
Trotzdem meldet das Redaxo-Setup (4.0) nach wie vor, der include-Ordner sei unsicher.
Gibt es da vielleicht noch irgendwelche heißen Tipps (außer Liebesbriefe an den Provider)?
Vielen Dank im Voraus und viele Grüße,
Meike Stoverock
Re: include trotz Passwort unsicher
Das liegt an der Prüfroutine des Rex4, welche auf die .htaccess prüft.M.Stoverock hat geschrieben:Hallo an alle,
ich muss das Thema unsicherer include-Ordner nochmal aufgreifen.
Die Homepage, um die es geht, liegt bei T-Online, das ja bekanntlich keine .htaccess zum Schützen von Verzeichnissen erlaubt.
Sollte ein Verzeichnisschutz nötig sein, empfiehlt T-Online folgendes Vorgehen via .access-Datei: http://www.georg-burkhard.privat.t-onli ... swort.html
Das habe ich getan und die .access in der beschriebenen Weise angelegt. Der Test über Webbrowser zeigt, dass Dateien aus dem include-Ordner NICHT aufgerufen werden können, das Verzeichnis also sicher ist.
Trotzdem meldet das Redaxo-Setup (4.0) nach wie vor, der include-Ordner sei unsicher.
Gibt es da vielleicht noch irgendwelche heißen Tipps (außer Liebesbriefe an den Provider)?
Vielen Dank im Voraus und viele Grüße,
Meike Stoverock
Da diese bei Dir nicht da ist, kommt es zu dieser Meldung.
-
- Beiträge: 20
- Registriert: 3. Aug 2007, 14:52
- Wohnort: Berlin
Hallo auch,
danke, aber das Problem lag eher daran, dass das include-Verzeichnis mit allen direkten Dateien und Unterordnern zwar geschützt war, nicht jedoch die Inhalte dieser Unterordner, wie ich jetzt festgestellt habe.
Seltsam, aber so steht es geschrieben.
Das Setup überprüft scheinbar, ob die Datei setup.inc.php im Ordner redaxo/include/pages/ per Browser direkt aufgerufen werden kann. Konnte sie in diesem Fall.
Ich habe jetzt die .access-Datei mit dem Passwortschutz nochmal separat im Verzeichnis pages/ abgelegt und jetzt läuft das Setup durch.
Vielen Dank für die Aufmerksamkeit.
Meike Stoverock
danke, aber das Problem lag eher daran, dass das include-Verzeichnis mit allen direkten Dateien und Unterordnern zwar geschützt war, nicht jedoch die Inhalte dieser Unterordner, wie ich jetzt festgestellt habe.
Seltsam, aber so steht es geschrieben.
Das Setup überprüft scheinbar, ob die Datei setup.inc.php im Ordner redaxo/include/pages/ per Browser direkt aufgerufen werden kann. Konnte sie in diesem Fall.
Ich habe jetzt die .access-Datei mit dem Passwortschutz nochmal separat im Verzeichnis pages/ abgelegt und jetzt läuft das Setup durch.
Vielen Dank für die Aufmerksamkeit.
Meike Stoverock
- Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Wenn das beim Rosa Riesen wirklich so komisch funktioniert (eigentlich wirkt eine .htaccess rekursiv auf alle Unterverzeichnisse), dann wirklich auch alle Unterverzeichnisse im include-Ordner schützen, um bösen Überraschungen vorzubeugen.
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert