[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
REDAXO Forum • Der Ordner redaxo/include ist unsicher.

REDAXO Forum

Diskussionen, Fragen rund um das CMS REDAXO
https://redaxo.org/forum/

Der Ordner redaxo/include ist unsicher.

https://redaxo.org/forum/viewtopic.php?t=8467

Seite 1 von 1

Der Ordner redaxo/include ist unsicher.

Verfasst: 10. Mär 2008, 15:07
von BHCL
Ich habe gerade Redaxo auf einem Server kopiert und möchte es jetzt installieren. Habe Schritt für Schritt gemacht und erhalte jetzt folgende Fehlermeldung:
Der Ordner redaxo/include ist unsicher. Bitte schützen Sie diesen Ordner und starten das Setup erneut!
Ich hab jetzt alles möglich mit CHMOD Rechten ausprobiert. Hat jemand einen Tipp?

Verfasst: 10. Mär 2008, 15:10
von gpo
htaccess ist da?

Verfasst: 10. Mär 2008, 15:13
von BHCL
Ja, ist sie. Ich hab sie mal kopiert!

RewriteEngine Off
Deny from all
AuthUserFile ./user.psw
AuthGroupFile /dev/null
AuthName "Include Folder"
AuthType Basic
require valid-user

Verfasst: 10. Mär 2008, 15:28
von Markus.Staab
Hi BHCL,

Willkommen bei REDAXO.

Bitte das nächste mal die Suche verwenden, bzw mal ins FAQ/die Doku schauen:
http://wiki.redaxo.de/index.php?n=R4.FAQ#htaccess

Gruß,
Markus

Verfasst: 10. Mär 2008, 20:04
von missmissr
Hallo,

ich hatte das übrigens auch. Ich habe mit dem Browser Firefox die Installation gestartet.

Zuerst hatte ich per chmod alle Dateien auf 777 gesetzt, dann kam die Fehlermeldung. Dann habe ich den include Ordner und die Datei master.inc.php im include Ordner auf 775 gesetzt. Dann ging es in Firefox immer noch nicht. Ich dacht, jetzt müsste ich den Provider bemühen, um AllowOverride auf Alll zu setzen, aber irgendwie kam ich dann noch auf die Idee, mit meinem Browser Safari die Installation noch einmal zu starten und siehe da, die Fehlermeldung war weg und die Installation auszuführen ohne dass der Provider an der Apache-Konfiguration was ändern musste. Die Rechte ließ ich auf 775 für den include und die Datei master.inc.php. Ich hatte das Gefühl, dass mein Firefox irgendetwas gecached hatte, ich kann mich aber täuschen. Ich habe in Firefox den Browserchace nicht geleert. Safari (ich hab einen Mac) hingegen hatte weder Cookies noch einen Verlauf bzw. History gecached und war also jungfräulich. Was micht denken lässt, vielleicht hätte ein Browsercacheleeren auch geholfen. Ich weiß es nicht, ich schreib euch einfach mal meine Erfahrung.

Bis dann, missmissr.

Verfasst: 10. Mär 2008, 20:15
von Markus.Staab
Hi nochmal,

nur um das klar zustellen, diese Fehlermeldung hat nichts mit Berechtigungen von Ordnern o.ä. zu tun..

Viele Grüße,
Markus

Verfasst: 17. Apr 2009, 09:56
von snooops
Ich habe mir gerade ein kleines Debian mit PHP5 MySQL und Apache2 installiert und wollte mir nun mal redaxo angucken. Zu meinem erstaunen über die Fehlermeldung und die ausführliche Dokumentation bin ich nun in diesem Thread gelandet. Ich kann nicht nachvollziehen warum ich oder ein Provider die Einstellung AllowOverride All setzen sollte. Welche Einstellungen werden von Redaxo modifiziert bzw. benötigt? Ich konnte diese Information leider nicht dem Wicki entnehmen. Ebenso musste ich über die Zeile schmunzeln (kontaktieren Sie ihren Webmaster) ich denke mal in 80% aller Fälle ist man das selber.

Viele Grüße,
Dennis Meyer

Verfasst: 20. Apr 2009, 09:28
von snooops
So Wochenende ist rum, und ich bin diesbzgl. immer noch dumm :P
wär cool wenn sich ein wissender Entwickler dazu äusern könnte.
Gruß der snooops

Verfasst: 27. Apr 2009, 09:20
von snooops
Und wieder ist eine Woche vergangen ohne eine Antwort zu erhalten. Wissen die Entwickler nicht was ich meine oder was Ihre Konfigurationsanforderung überhaupt bedeutet?
Bitte jetzt mal eine Antwort, kann doch nicht so schwer sein einen parameter zu beschreiben den man benötigt.
Gruß Snooops

Verfasst: 27. Apr 2009, 13:34
von Markus.Staab
Hi,

das AllowOverride All ist nötig, damit aus der .htaccess im Installationsverzeichnis von REDAXO heraus die Werte berücksichtigt werden.

In XAMPP ist es von Haus aus nicht erlaubt, via HTACCESS die einstellungen vorzunehmen, die wir verwenden, um das include Verzeichnis abzusichern.

Viele Grüße,
Markus

Verfasst: 27. Apr 2009, 14:17
von snooops
Hi Markus,
dessen war ich mir bereits bewusst. Dennoch ist es so, und da wirst du mir rechtgeben müssen, das allowoverride all eine Servereinstellung ist die durchaus Sicherheitslücken aufmacht oder gar vergrößert. Allowoverride All hat zur Folge das man ALLE Einstellungen der Apache Konfiguration überschreiben kann, Benutzer könnten einen .htaccess geschützten PHPMyAdmin öffnen durch einen simplen FileUpload. Sowas darf nicht passieren, deshalb nochmals die bitte diesen Anspruch zu korrigieren. Wenn die Skripte innerhalb des Verzeichnisses geschützt werden sollen tuts auch ein einfaches
if (!defined(REDAXO_ONLY)) die();
in der ersten zeile eines jeden Skripts, so wie es andere CMS ebenfalls machen, und eigentlich auch guter Standard ist. Schliesslich hat man nicht immer einen Apache zur Verfügung hat.
Die Trennung zwischen Sicherheit und Logik ist nicht immer einfach, dazu kommt noch die Sicherheit zwischen Service und Modul.
Gruß,
Snooops

Verfasst: 29. Apr 2009, 09:26
von Markus.Staab
Hi,

evtl wäre es kurzfristig auch eine Option dass man statt AllowOverrideAll eine andere Direktive verwendet, die nur die von uns benötigten Bereiche zum überschreiben freigibt.... Allerdings bin ich da nicht drinnen in der Materie. So wie es sich anhört könntest du da aber nen Tipp geben..?

Grüße,
Markus

Re: Der Ordner redaxo/include ist unsicher.

Verfasst: 31. Mai 2018, 21:54
von manuxi
Ich wärme diesen Thread nochmal auf:
Ich evaluiere gerade ein paar CMS, da ich dafür entwickeln möchte. Habe wor ein paar Jahren bereits für Typo3 entwickelt, aber für kleine Seiten ist das einfach zu mächtig. Ich entwickle auf Windows 10 - bisher auf xampp, ahbe aber devilbox entdeckt und probiere das mal aus.
Da bin ich gerade mit Apache 2.4, php 7.26 und mysql 5.6 unterwegs. Den ersten Versuch wage ich mit der aktuellsten Version, 5.5.1.

Erster Haken, Installation, Schritt 3: Ordner cache/data/src nicht sicher (.htaccess vorhanden, AllowOverride auch auf All) - merkwürdig - aber im Quellcode stand ja der Link zum nächsten Schritt... o0 Daher hat die Installation dann doch funktioniert.

Fertig gestellt und bei "Struktur" gelandet (wie gesagt, ich beschäftige mich zwar schon lange mit php & Co., aber bin absoluter Redaxo-Neuling). Dort erwartet mich: "The folder redaxo/src is insecure. Please protect this folder." *nerv*

Konsole zeigt mir 3 Zugriffsversuche auf Dateien:
[...]/redaxo/data/.redaxo 403 (Forbidden)
[...]/redaxo/cache/.redaxo 403 (Forbidden)
[...]/redaxo/bin/console 403 (Forbidden)

Über meinen Browser ist [...]/redaxo/src ebensowenig zu erreichen, wie die anderen Verzeichnisse oder Dateien - bekomme einen 403er - so solls ja auch sein, oder?

Hat jemand eine Idee, wie ich die lästige Fehlermeldung weg bekomme bzw. woran es liegt, dass sie erscheint?

(Daneben unter "Struktur" übrigens 3 weitere (php-) Fehlermeldungen:
Warning: count(): Parameter must be an array or an object that implements Countable in [...]/redaxo/src/addons/structure/pages/index.php on line 29
Warning: count(): Parameter must be an array or an object that implements Countable in [...]/redaxo/src/addons/structure/pages/index.php on line 114
Warning: count(): Parameter must be an array or an object that implements Countable in [...]/redaxo/src/addons/structure/pages/index.php on line 132
passt jetzt nicht so ganz zum schicken Rest... :o)

Edit: habe es eben gefunden,php 7.2 Kompatibilität heißt das Stichwort...)

Re: Der Ordner redaxo/include ist unsicher.

Verfasst: 23. Okt 2018, 18:47
von AndiLeni
Ich habe aktuell das selbe Problem.
Wie genau hast du es gelöst?
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/