REDAXO Forum

Hi,

du musst deinen Hoster fragen:

Wie kann ich den Ordner redaxo/include so konfigurieren, dass dieser via Webbrowser nicht mehr erreichbar ist.

Viele Grüße,
Markus

Hallöchen,

ich habe/hatte das gleiche Problem, und ich bin selber der Hoster

Betreibe R4 auf einem W2K-Server, und darunter gibt es keine mir bekannte Möglichkeit, die Rechte für den User 'IUSR_XXXXX' so einzutragen, daß der Setup funktioniert. - Habe alle Einstellungen probiert, bevor ich dann einen manuellen Workaround s.u. unternahm. - Falls jemand einen besseren Hinweis hat, wäre ich dankbar.

Mein Vorschlag wäre in dem Fall

- entweder das include-Verzeichnis außerhalb des Webspace anzulegen, also mit lokalem Webserver-Pfad

- oder, die Installation mit Warnhinweis (ist ja ok...) trotzdem durchzuführen, d.h. den Weiter-zum-Schritt-3 Button anzuzeigen

sonst kommt man da auf keinen grünen Zweig...

Abgesehen davon, unter einer neuen Standard-Installation von MySql 5.0.27 sowie PHP 5.2.4 läuft der Redaxo-Setup unter Windows sowieso nicht wirklich... (ist schon Tieferes nötig z.B. MYSQL40-Kompatibiltät einschalten... Php.Ini Session-Space anders setzen... usw. usf.)

Bestehen da Gedanken einen kleinen Artikel zu dem Thema zu verfassen oder gibt es den schon und ich hab ihn nicht gefunden?

Beste Grüße
Jürgen

Hi Jürgen,

jwillers hat geschrieben:Betreibe R4 auf einem W2K-Server, und darunter gibt es keine mir bekannte Möglichkeit, die Rechte für den User 'IUSR_XXXXX' so einzutragen, daß der Setup funktioniert. - Habe alle Einstellungen probiert, bevor ich dann einen manuellen Workaround s.u. unternahm. - Falls jemand einen besseren Hinweis hat, wäre ich dankbar.

Es gibt z.b. .htaccess für Windows

jwillers hat geschrieben: Mein Vorschlag wäre in dem Fall

- entweder das include-Verzeichnis außerhalb des Webspace anzulegen, also mit lokalem Webserver-Pfad

- oder, die Installation mit Warnhinweis (ist ja ok...) trotzdem durchzuführen, d.h. den Weiter-zum-Schritt-3 Button anzuzeigen

sonst kommt man da auf keinen grünen Zweig...

Lösung 1 funktioniert nicht, da sonst die Pfade alle nicht mehr passen
Lösung 2 würde zu sehr vielen unsicheren Systemen führen, absolut unmöglich!

jwillers hat geschrieben: Abgesehen davon, unter einer neuen Standard-Installation von MySql 5.0.27 sowie PHP 5.2.4 läuft der Redaxo-Setup unter Windows sowieso nicht wirklich... (ist schon Tieferes nötig z.B. MYSQL40-Kompatibiltät einschalten... Php.Ini Session-Space anders setzen... usw. usf.)

Aus welchem Grund geht das nicht? Welche der verwendeten Dinge geht mit MySQL5 nicht, aber im Compat Mode?

Viele Grüße,
Markus

Hi,

Kompatibilität...naja, also z.B. eben -> dieses Problem hatte ich auch.

Keine Fehlermeldung (war wohl unterdrückt), aber der Admin-User wurde einfach nicht angelegt, weil die Spalten NULL-Werte enthielten, und das ist für MySql5 im Standard nicht mehr zulässig. -

Aber überhaupt, was die Windows-Installation angeht, ein anderes Ding ist z.B. die PHP-Sessionverwaltung unter Windows. Der PHP-Installer, aber auch die Zip-Version liefern einen memory-orientierten Garbage-Collector mit, der im Zusammenspiel mit MySql den Speicher zumüllt

[ externes Bild ]

oder aber, weit schlimmer die Daten nach genau 24 Minuten einfach zerstört -> Verbindungsabbruch im lfd. Betrieb bis zum nächsten Browseraufruf. - In der Php.ini stehen einige Dinge dazu, insbesondere wie man die Daten eben in ein Verzeichnis auf der Platte rausschreibt. - Seither habe ich keine Probleme mehr damit...

die Windows-Installation ist nicht ganz trivial. - Aber, was das Rechteproblem betrifft, mit dieser Angelegenheit schlagen sich alle dynamischen Systeme herum. Oft ist es so gelöst daß es eine Config-Datei gibt, in der der lokale Pfad steht. Dieser wird dann in eine globale Variable geschrieben und dort jeweils abgegriffen.

Wird wohl immer so sein: Solange Code in irgendeinem von außen sichtbaren Verzeichnis steht (d.h. Webspace), solange kannst du dir nie sicher sein. Ein miskonfigurierter Server schmeißt dir sowieso den Code auf den Bildschirm und dann bist du froh wenn du keine harten Passwort-Zuweisungen etc. drin hast...

Grüßle an alle, Jürgen

jwillers hat geschrieben:Hi,

Kompatibilität...naja, also z.B. eben -> dieses Problem hatte ich auch.

....

Sorry, will dir in dem Fall nicht wiedersprechen, aber auch wenn die Auswirkung ähnlich ist sind der von mir beschriebene Fall und deiner 2 verschiedene.

Bei mir WERDEN User in der DB angelegt und auch die Abfrage stimmt.
Wie bereits in dem anderen Topic erwähnt eher ein Session als ein DB Problem. Aber das weiss wohl nur einer der Entwickler

Hallo, noch mal zu dem Problem " redaxo/include ist unsicher"

Ich habe mal meinem Provider geschrieben - Host Europe und gefragt:
Wie kann ich den Ordner redaxo/include so konfigurieren, dass dieser via Webbrowser nicht mehr erreichbar ist

und bekomme folgende Antwort:
auf einem WebPack M 2.0 wird eine .htaccess Datei leider nicht unterstützt, Sie können jedoch den Zugriffsschutz im KIS nutzen

Dat verstehe ich jetzt mal nich mehr. Im Verzeichnis liegt eine _.htaccess - zusätzlich habe ich einen Verzeichnisschutz eingerichtet. Trotzdem lässt sich R4 nicht installieren. Konkret bedeutet das, ich muss aufrüsten? Ein WebPack der .htaccess unterstützt?

MfG

Hi,

lass dir doch den schutz via KIS von deinem Provider einrichten

Gruß,
Markus

Hallo Kills, ja genau geht ja wohl nicht da mein webpackage das nicht unterstütz

htaccess geht nicht.. aber du kannst übers KIS verzeichnisse serverseitig schützen.
--------------------------------------------------
Edit: Sry, sagtest ja hast bereits drin und bringt nix.

Das sind ja u.U. zwei leicht unabhängige Probleme.

Dass die htaccess nicht unterstützt wird bedeutet ja nicht automatisch Unsicherheit. kills hat ja weiter oben beschrieben wie man das testen kann. Wenn der Test scheitert (also die php-Datei nicht direkt aufgerufen werdne kann), ist dein Server sicher.

Bleibt nur noch der Punkt, dass die htaccess die Grundkonfiguration des Servers nicht überschreiben kann ("allowoverride none" in der Apache-Konfig). Und genau dass scheint die R4-Installation abzuprüfen, nämlich ob die htaccess "akzeptiert" wird. Macht aber im Zweifel nix.

Warum willst Du direkt auf dem Webspace testen? Mach's lokal. Und wenn die Webseite fertig ist: wupp den ganzen Krempel per FTP / Mysqladmin hoch. Dann ist auch das Installationsproblem weg - oder bin ich zu optimistisch

Gruß
Christoph

Hi,

chris-b hat geschrieben:Bleibt nur noch der Punkt, dass die htaccess die Grundkonfiguration des Servers nicht überschreiben kann ("allowoverride none" in der Apache-Konfig). Und genau dass scheint die R4-Installation abzuprüfen, nämlich ob die htaccess "akzeptiert" wird. Macht aber im Zweifel nix.

REDAXO versucht eine Datei aus dem Include path einzubinden und wenn das funktioniert, dann wird das SETUP "angehalten".

Auf welche Art & Weise man es arrangiert, dass der Ordner geblockt ist, ist REDAXO egal. Es werden keine Serverspezifischen Konfigurationen o.ä. ausgelesen

Gruß,
Markus

kills hat geschrieben:Hi,

PHP Fehlermeldungen dürfen hier nicht kommen!

Kontaktiere deinen Provider und besprich mit Ihm, wie du erreichen kannst, dass dieser Ordner nicht mehr von "außen" erreichbar ist.
Da die "standard Methode" mit der .htaccess Datei nicht funktioniert, können wir dir hier nicht weiterhelfen.

Das ist absolut notwendig, damit deine Seite nicht angegriffen werden kann!

Viele Grüße,
Markus

Hallo,

ich möchte Redaxo erstmal lokal installieren. Was muss ich denn unter Windows XP genau machen um das Verzeichnis zu schützen????

Danke

Gruß gaudi123

@gaudi123:
was für ein webserver?

Ich benutze das WAMP System.

- Apache Webserver

Setz allowoverride auf true
http://httpd.apache.org/docs/2.0/mod/co ... owoverride

und in welcher Datei soll ich das denn setzen?

In der httpd.conf in deinem apache Verzeichnis

Vielen Dank, ich schau mal ob das klappt!

Mal was gaanz anderes:
Wenn's um das lokale Testen von Redaxo geht, so dürfte für Euch interessant sein, dass Andreas Eberhard in wenigen Tagen einen RedaxoWinstaller anbieten wid, der genau das tut: Apache, PHP und MySQL samt zwei Redaxo-Demos lokal auf einem Windows-Rechner installieren, so dass man in Ruhe offline testen kann. Und das, ohne dass im Windows-System irgendetwas verändert wird (keine Deinstallation nötig)

Die Adresse zum Download und für weitere Infos wird sein:
http://redaxowinstaller.de/

Viele Grüße,
Peter.

Hallo,

und jetzt ist es endlich soweit.
Unter http://redaxowinstaller.de steht jetzt die aktuelle Version 4.0 von Redaxo zum Download bereit!

Viele Grüße
Andreas

Hallo an alle,

ich muss das Thema unsicherer include-Ordner nochmal aufgreifen.

Die Homepage, um die es geht, liegt bei T-Online, das ja bekanntlich keine .htaccess zum Schützen von Verzeichnissen erlaubt.
Sollte ein Verzeichnisschutz nötig sein, empfiehlt T-Online folgendes Vorgehen via .access-Datei: http://www.georg-burkhard.privat.t-onli ... swort.html

Das habe ich getan und die .access in der beschriebenen Weise angelegt. Der Test über Webbrowser zeigt, dass Dateien aus dem include-Ordner NICHT aufgerufen werden können, das Verzeichnis also sicher ist.
Trotzdem meldet das Redaxo-Setup (4.0) nach wie vor, der include-Ordner sei unsicher.

Gibt es da vielleicht noch irgendwelche heißen Tipps (außer Liebesbriefe an den Provider)?

Vielen Dank im Voraus und viele Grüße,
Meike Stoverock

M.Stoverock hat geschrieben:Hallo an alle,

ich muss das Thema unsicherer include-Ordner nochmal aufgreifen.

Die Homepage, um die es geht, liegt bei T-Online, das ja bekanntlich keine .htaccess zum Schützen von Verzeichnissen erlaubt.
Sollte ein Verzeichnisschutz nötig sein, empfiehlt T-Online folgendes Vorgehen via .access-Datei: http://www.georg-burkhard.privat.t-onli ... swort.html

Das habe ich getan und die .access in der beschriebenen Weise angelegt. Der Test über Webbrowser zeigt, dass Dateien aus dem include-Ordner NICHT aufgerufen werden können, das Verzeichnis also sicher ist.
Trotzdem meldet das Redaxo-Setup (4.0) nach wie vor, der include-Ordner sei unsicher.

Gibt es da vielleicht noch irgendwelche heißen Tipps (außer Liebesbriefe an den Provider)?

Vielen Dank im Voraus und viele Grüße,
Meike Stoverock

Das liegt an der Prüfroutine des Rex4, welche auf die .htaccess prüft.
Da diese bei Dir nicht da ist, kommt es zu dieser Meldung.

Hallo auch,

danke, aber das Problem lag eher daran, dass das include-Verzeichnis mit allen direkten Dateien und Unterordnern zwar geschützt war, nicht jedoch die Inhalte dieser Unterordner, wie ich jetzt festgestellt habe.
Seltsam, aber so steht es geschrieben.

Das Setup überprüft scheinbar, ob die Datei setup.inc.php im Ordner redaxo/include/pages/ per Browser direkt aufgerufen werden kann. Konnte sie in diesem Fall.
Ich habe jetzt die .access-Datei mit dem Passwortschutz nochmal separat im Verzeichnis pages/ abgelegt und jetzt läuft das Setup durch.

Vielen Dank für die Aufmerksamkeit.

Meike Stoverock

Wenn das beim Rosa Riesen wirklich so komisch funktioniert (eigentlich wirkt eine .htaccess rekursiv auf alle Unterverzeichnisse), dann wirklich auch alle Unterverzeichnisse im include-Ordner schützen, um bösen Überraschungen vorzubeugen.

Rüdiger

REDAXO Forum

Probleme mit .htaccess

Der Ordner redaxo/include ist unsicher.

include trotz Passwort unsicher

Re: include trotz Passwort unsicher