[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
REDAXO Forum • Apache Modul mod_security

REDAXO Forum

Diskussionen, Fragen rund um das CMS REDAXO
https://redaxo.org/forum/

Apache Modul mod_security

https://redaxo.org/forum/viewtopic.php?t=17827

Seite 1 von 1

Apache Modul mod_security

Verfasst: 6. Feb 2012, 22:13
von execrable
Hallo zusammen !

Ich nutze bei meinen Servern immer das Apache Modul mod_security. Das 4er Redaxo erzeugt dort eine Handvoll falsche Meldungen im Backend. Könnt ihr bei der 5er Entwicklung darauf Rücksicht nehmen, so das man nicht bestimmte Regeln im mod_security deaktivieren muss ?

Gruß
Exe

Re: Apache Modul mod_security

Verfasst: 7. Feb 2012, 10:50
von Markus.Staab
Hi Exe,

kannst du mal kurz umreisen was das Modul für dich tut und wo dabei die Probleme mit REDAXO entstehen?

Gruß,
Markus

Re: Apache Modul mod_security

Verfasst: 7. Feb 2012, 12:36
von execrable
Hallo Markus !

Das Modul prüft die HTTP Aufrufe inkl. der Daten von POST/GET/HEAD usw. Das Modul versucht Injections oder gefährliche Namensräume auf zu zeigen, wie z.B. "?option=" oder "?include=", meldet Javascript Inhalte bzw. Bausteine oder sogar die klassichen SQL-Übergabeparameter in der URL.

Der Umfang der Prüfregeln ist recht hoch - je nach aktivierten Rulesets. Das Modul kann je nach Wertung einen Aufruf letztlich komplett blocken oder nur mit einer Warnung oder Info in der Logdatei quittieren.

Es gibt nur wenige Anwendungen die von Anfang an sauber mit dem Modul zusammen arbeiten und als Admin muss man dann einige Rules in der Vhosts deaktivieren. Es ist nicht viel Aufwand diese einzelnen Regeln zu deaktivieren und damit die Meldungen zu unterdrücken, nur können Sie einem dann bei der eigenen Programmierung/Schusseligkeit nicht mehr helfen :)

Wenn jemand mod_security ausprobieren möchte kann das recht einfach, da die meisten Distributionen das Modul im Repository anbieten. Man muss nur meistens die Rulesets manuell einbinden bzw. bei mod_security herunterladen und einbinden.

Re: Apache Modul mod_security

Verfasst: 7. Feb 2012, 15:22
von Markus.Staab
Hi,

klingt für mich jetzt erstmal nach einem ähnlichen Ansatz wie PHPIDS:
http://www.redaxo.org/de/forum/addons-f ... 15569.html

Nun die Frage: Welche konrekten Probleme hast du in der Kombination und wie sollen wir da weiterhelfen/darauf achten?

Gruß,
Markus

Re: Apache Modul mod_security

Verfasst: 7. Feb 2012, 16:27
von execrable
Ja genau.

Nur ist PHPIDS deutlich später in der Verwertungskette und ist bei DDOS-Attacken oder Exploits angreifbarer - die haben alle ihre Schwachstellen/Macken.

Ich kann die Tage nochmals das Regelwerk auf einer meiner Domains zurücksetzen und gebe gerne Bescheid was ich so gefunden habe - allerdings nur bei Redaxo 4.x

Gruß
Exe
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/