Sicherheit mit htaccess?

Hast du Probleme Admidio einzurichten? Hier kannst du Fragen rund um die Einrichtung stellen.
Antworten
TheDude
Beiträge: 60
Registriert: 24. Nov 2011, 12:11

Sicherheit mit htaccess?

Beitrag von TheDude »

Hallo Zusammen,

bei der Installation fiel mir auf, daß im Root-Verzeichnis von Admidio keine .htaccess Datei per default erzeugt wird/vorhanden ist (sorry, kenne ich so von Joomla, bin aber auf dem Gebiet kein Profi).

Ist es denn "sinnvoll" eine .htaccess Datei dort zu erstellen bzw. habt ihr eine "passende" .htaccess Datei, die ihr zur Verfügung stellen könntet um die Ordnerstruktur auf dem Webserver noch mehr abzusichern?

Vielen Dank vorab,
Güße & ein schönes Wochenende

TheDude
Benutzeravatar
fasse
Administrator
Beiträge: 6170
Registriert: 12. Nov 2005, 16:06

Beitrag von fasse »

Hallo Dude,

im Ordner adm_my_files haben wir so eine AccessDatei, die den Zugriff auf diesen Ordner schützt. Auf die restliche Struktur ist mir noch nicht so ganz klar, was das groß bringen soll.

Schau mal in diese Datei rein, da findest du auf jeden Fall die entsprechenden Befehle.

Gruß
Markus
TheDude
Beiträge: 60
Registriert: 24. Nov 2011, 12:11

Beitrag von TheDude »

Hallo Fasse,

... nun ja, ich bin da wirklich Laie: Die Zugangsdaten zur MySQL-Datenbank und andere Daten liegen ja im Root der Webseite in der Datei config.php. Und das hat mir ein wenig Sorgen bereitet: Es könnte ja jemand die Datei auf Verdacht hin versuchen herunterzuladen. Dann wären alle Daten offen gelegt. Speziell die Bankverbindungen wären hier ein echtes Problem.

Vielleicht habe ich hier aber auch einfach eine Wissenslücke.

Ich hatte speziell auch bei SELFHTML gelesen, daß man über eine .htaccess-Datei den Zugriff auf die Seiten und Ordner steuern kann. Nur wollte ich jetzt keine entsprechende Datei selber schreiben, da ich nicht weiß, welche Auswirkungen das dann auch Admidio hat. Daher meine Frage.

Aber vielleicht mache ich mir da auch einfach zu viele Gedanken ... :oops:

Viele Grüße
TheDude
matzman2000
Former team member
Beiträge: 1087
Registriert: 2. Sep 2007, 17:12
Wohnort: Itzstedt
Kontaktdaten:

Beitrag von matzman2000 »

Erkläre mir doch mal bitte, wie jemand Deine config.php so einfach herunterladen soll? :?
Du brauchst an der Stelle keine htaccess Datei, das ist unnötig.
TheDude
Beiträge: 60
Registriert: 24. Nov 2011, 12:11

Beitrag von TheDude »

Hallo Matzmann2000,

... nun ja, indem ich die URL der Datei in der Adresszeile im Browser angebe (z. B. http://xyz.de/config.php)? Habe es aber vorhin mal probiert - das passiert offenbar nichts, es erscheint nur eine weiße Seite.

Es war ja auch nur eine Überlegung. Wie schon gesagt: Ich bin auf dem Gebiet wirklich reiner Anwender und kenne mich in der Sicherheitsarchitektur von PHP, etc. nicht aus. Daher auch meine Nachfrage. :oops:

Insofern will ich hier auch kein Faß aufmachen. Gerne möchte ich Admidio zur Vereinsverwaltung einsetzen, möchte aber auch keinen Datenschutzgau erleben.

Es gab im Forum bereits mehrere Threads zu Thema Sicherheit. Allerdings noch keinen, der sich mit der .htaccess beschäftigt hat. Also - wirklich nur eine Frage um mich zu beruhigen und zu motivieren, Admidio einzusetzen. :D

Grüße
TheDude
matzman2000
Former team member
Beiträge: 1087
Registriert: 2. Sep 2007, 17:12
Wohnort: Itzstedt
Kontaktdaten:

Beitrag von matzman2000 »

TheDude hat geschrieben:... nun ja, indem ich die URL der Datei in der Adresszeile im Browser angebe (z. B. http://xyz.de/config.php)? Habe es aber vorhin mal probiert - das passiert offenbar nichts, es erscheint nur eine weiße Seite.
Dann wird der PHP Code der Datei auf dem Server ausgeführt, d.h. für die config.php werden Variablen befüllt. An den Client (Benutzer) wird davon nichts zurückgegeben, da keine HTML Anweisung (bzw. Zuweisung der Variable) in der Datei steht.

Das ist ein sicheres und gängiges Verfahren und wird so von vielen PHP System genutzt (zB. Websitebaker etc.)

Falls Dir das nicht sicher erscheint, musst Du Dir da eine htaccess Datei anlegen (Name = ".htaccess") und mit folgendem Inhalt befüllen:

Code: Alles auswählen

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>
Damit schützt Du die config.php vor dem direkten Zugriff (bzw. Aufruf).

Ist ungetestet, sollte aber laufen...

Gruss,
Matze
TheDude
Beiträge: 60
Registriert: 24. Nov 2011, 12:11

Beitrag von TheDude »

Hallo Matze,

... klingt gut, ich werde es mal auf einem XAMPP testen und sehen, was passiert. :D

Vielen Dank nochmals,
Grüße

TheDude
jenskapmeyer
Beiträge: 10
Registriert: 8. Okt 2013, 12:28

Re: Sicherheit mit htaccess?

Beitrag von jenskapmeyer »

Hallo,

ich habe das gleiche Problem meine ich (und wollte daher keine neuen Thread eröffnen)
Habe eine Seite erstellt, die auch online, sehe ich, daß man einfach nach "unserer Seite + guestbook" googeln kann und kommt über den ergoogelten Link

"http://www.unsere_seite.de/adm/adm_program/modules/guestbook/guestbook.php?headline=G%C3%A4stebuch&moderation=0&start=60"

("unsere_Seite" steht für den richtigen Namen)
einfach in unser Gästebuch und in alle möglichen anderen ADMIDIO Inhalte !

Gibt es da eine (Anfänger-)Anleitung, wie ich das verhindern kann, per htaccess oder so ?

Gruß
Jens
zetasj55
Beiträge: 1
Registriert: 11. Okt 2013, 11:34

Re: Sicherheit mit htaccess?

Beitrag von zetasj55 »

Dann wird der PHP Code der Datei auf dem Server ausgeführt, d.h. für die config.php werden Variablen befüllt. An den Client (Benutzer) wird davon nichts zurückgegeben, da keine HTML Anweisung (bzw. Zuweisung der Variable) in der Datei steht.
I am satisfied completely from the impressive working of the website of 1Y0-350 for the CAHSEE test.For more information about this product visit AccessData and also visit facebook ,best of luck.
jenskapmeyer
Beiträge: 10
Registriert: 8. Okt 2013, 12:28

Re: Sicherheit mit htaccess?

Beitrag von jenskapmeyer »

Hallo zetasj55,

danke für die Antwort!
Was kann ich nun dagegen tun, damit fremde Nutzer nicht durch ergoogeln von z.B.

"adm_program/modules/dates/dates.php"

auf die Inhalte von allen möglichen Webseiten zugreifen kann, die ADMIDIO nutzen ?

Gruß
Jens
fxneumann
Beiträge: 8
Registriert: 19. Jan 2014, 11:49

Re: Sicherheit mit htaccess?

Beitrag von fxneumann »

jenskapmeyer hat geschrieben: Was kann ich nun dagegen tun, damit fremde Nutzer nicht durch ergoogeln von z.B.

"adm_program/modules/dates/dates.php"

auf die Inhalte von allen möglichen Webseiten zugreifen kann, die ADMIDIO nutzen ?
In den Modul-Einstellungen jeweils den Zugriff »nur auf angemeldete Benutzer« beschränken. Das hat bei den Terminen den Nachteil, daß ein Kalender-Abo dann wahrscheinlich nicht mehr funktioniert.

Ich habe für unsere Admidio-Installation eine robots.txt angelegt, die Suchmaschinen anweist, die Seite nicht in den Suchindex aufzunehmen. Das schützt nicht vor Leuten, die die Adresse kennen oder erraten, verhindert aber zufälliges ergoogeln der Seite.

Wenn Du Admidio in einer eigenen Subdomain installiert hast (z.B. http://admidio.MEINVEREIN.de), dann lege eine Datei in das Stammverzeichnis, die robots.txt heißt mit folgendem Inhalt:

Code: Alles auswählen

User-agent: *
Disallow: /
Wenn Du Admidio in einem Verzeichnis der regulären Vereinshomepage installiert hast (z.B. http://www.MEINVEREIN.de/admidio), lege eine robots.txt ins Rootverzeichnis mit diesem Inhalt:

Code: Alles auswählen

User-agent: *
Disallow: /admidio
Allow: /
Statt »admidio« steht da natürlich der Name Deines verwendeten Verzeichnisses.

Achtung: Mit einer solchen robots.txt werden natürlich auch Teile von Admidio nicht mehr in Suchmaschinen aufgenommen, die öffentlich sein sollen – etwa öffentliche Gästebücher, Dateilisten, Links, Termine … Ggf. mußt Du einzelne Dateien, etwa die dates.php, wenn die Termine öffentlich sein sollen, explizit erlauben. Wie das geht, steht hier: http://www.robotstxt.org/robotstxt.html (damit kann aber die Adresse von Admidio wieder gegoogelt werden und es kann gezielt nach aus dem Suchindex ausgeschlossenen Dateien gesucht werden.)

Viele Grüße

Felix
Antworten