Hallo Zusammen,
bei der Installation fiel mir auf, daß im Root-Verzeichnis von Admidio keine .htaccess Datei per default erzeugt wird/vorhanden ist (sorry, kenne ich so von Joomla, bin aber auf dem Gebiet kein Profi).
Ist es denn "sinnvoll" eine .htaccess Datei dort zu erstellen bzw. habt ihr eine "passende" .htaccess Datei, die ihr zur Verfügung stellen könntet um die Ordnerstruktur auf dem Webserver noch mehr abzusichern?
Vielen Dank vorab,
Güße & ein schönes Wochenende
TheDude
Sicherheit mit htaccess?
Hallo Fasse,
... nun ja, ich bin da wirklich Laie: Die Zugangsdaten zur MySQL-Datenbank und andere Daten liegen ja im Root der Webseite in der Datei config.php. Und das hat mir ein wenig Sorgen bereitet: Es könnte ja jemand die Datei auf Verdacht hin versuchen herunterzuladen. Dann wären alle Daten offen gelegt. Speziell die Bankverbindungen wären hier ein echtes Problem.
Vielleicht habe ich hier aber auch einfach eine Wissenslücke.
Ich hatte speziell auch bei SELFHTML gelesen, daß man über eine .htaccess-Datei den Zugriff auf die Seiten und Ordner steuern kann. Nur wollte ich jetzt keine entsprechende Datei selber schreiben, da ich nicht weiß, welche Auswirkungen das dann auch Admidio hat. Daher meine Frage.
Aber vielleicht mache ich mir da auch einfach zu viele Gedanken ...
Viele Grüße
TheDude
... nun ja, ich bin da wirklich Laie: Die Zugangsdaten zur MySQL-Datenbank und andere Daten liegen ja im Root der Webseite in der Datei config.php. Und das hat mir ein wenig Sorgen bereitet: Es könnte ja jemand die Datei auf Verdacht hin versuchen herunterzuladen. Dann wären alle Daten offen gelegt. Speziell die Bankverbindungen wären hier ein echtes Problem.
Vielleicht habe ich hier aber auch einfach eine Wissenslücke.
Ich hatte speziell auch bei SELFHTML gelesen, daß man über eine .htaccess-Datei den Zugriff auf die Seiten und Ordner steuern kann. Nur wollte ich jetzt keine entsprechende Datei selber schreiben, da ich nicht weiß, welche Auswirkungen das dann auch Admidio hat. Daher meine Frage.
Aber vielleicht mache ich mir da auch einfach zu viele Gedanken ...
Viele Grüße
TheDude
-
matzman2000
- Former team member
- Beiträge: 1087
- Registriert: 2. Sep 2007, 17:12
- Wohnort: Itzstedt
- Kontaktdaten:
Hallo Matzmann2000,
... nun ja, indem ich die URL der Datei in der Adresszeile im Browser angebe (z. B. http://xyz.de/config.php)? Habe es aber vorhin mal probiert - das passiert offenbar nichts, es erscheint nur eine weiße Seite.
Es war ja auch nur eine Überlegung. Wie schon gesagt: Ich bin auf dem Gebiet wirklich reiner Anwender und kenne mich in der Sicherheitsarchitektur von PHP, etc. nicht aus. Daher auch meine Nachfrage.
Insofern will ich hier auch kein Faß aufmachen. Gerne möchte ich Admidio zur Vereinsverwaltung einsetzen, möchte aber auch keinen Datenschutzgau erleben.
Es gab im Forum bereits mehrere Threads zu Thema Sicherheit. Allerdings noch keinen, der sich mit der .htaccess beschäftigt hat. Also - wirklich nur eine Frage um mich zu beruhigen und zu motivieren, Admidio einzusetzen.
Grüße
TheDude
... nun ja, indem ich die URL der Datei in der Adresszeile im Browser angebe (z. B. http://xyz.de/config.php)? Habe es aber vorhin mal probiert - das passiert offenbar nichts, es erscheint nur eine weiße Seite.
Es war ja auch nur eine Überlegung. Wie schon gesagt: Ich bin auf dem Gebiet wirklich reiner Anwender und kenne mich in der Sicherheitsarchitektur von PHP, etc. nicht aus. Daher auch meine Nachfrage.
Insofern will ich hier auch kein Faß aufmachen. Gerne möchte ich Admidio zur Vereinsverwaltung einsetzen, möchte aber auch keinen Datenschutzgau erleben.
Es gab im Forum bereits mehrere Threads zu Thema Sicherheit. Allerdings noch keinen, der sich mit der .htaccess beschäftigt hat. Also - wirklich nur eine Frage um mich zu beruhigen und zu motivieren, Admidio einzusetzen.
Grüße
TheDude
-
matzman2000
- Former team member
- Beiträge: 1087
- Registriert: 2. Sep 2007, 17:12
- Wohnort: Itzstedt
- Kontaktdaten:
Dann wird der PHP Code der Datei auf dem Server ausgeführt, d.h. für die config.php werden Variablen befüllt. An den Client (Benutzer) wird davon nichts zurückgegeben, da keine HTML Anweisung (bzw. Zuweisung der Variable) in der Datei steht.TheDude hat geschrieben:... nun ja, indem ich die URL der Datei in der Adresszeile im Browser angebe (z. B. http://xyz.de/config.php)? Habe es aber vorhin mal probiert - das passiert offenbar nichts, es erscheint nur eine weiße Seite.
Das ist ein sicheres und gängiges Verfahren und wird so von vielen PHP System genutzt (zB. Websitebaker etc.)
Falls Dir das nicht sicher erscheint, musst Du Dir da eine htaccess Datei anlegen (Name = ".htaccess") und mit folgendem Inhalt befüllen:
Code: Alles auswählen
<Files "config.php">
Order Allow,Deny
Deny from All
</Files>Ist ungetestet, sollte aber laufen...
Gruss,
Matze
-
jenskapmeyer
- Beiträge: 10
- Registriert: 8. Okt 2013, 12:28
Re: Sicherheit mit htaccess?
Hallo,
ich habe das gleiche Problem meine ich (und wollte daher keine neuen Thread eröffnen)
Habe eine Seite erstellt, die auch online, sehe ich, daß man einfach nach "unserer Seite + guestbook" googeln kann und kommt über den ergoogelten Link
"http://www.unsere_seite.de/adm/adm_program/modules/guestbook/guestbook.php?headline=G%C3%A4stebuch&moderation=0&start=60"
("unsere_Seite" steht für den richtigen Namen)
einfach in unser Gästebuch und in alle möglichen anderen ADMIDIO Inhalte !
Gibt es da eine (Anfänger-)Anleitung, wie ich das verhindern kann, per htaccess oder so ?
Gruß
Jens
ich habe das gleiche Problem meine ich (und wollte daher keine neuen Thread eröffnen)
Habe eine Seite erstellt, die auch online, sehe ich, daß man einfach nach "unserer Seite + guestbook" googeln kann und kommt über den ergoogelten Link
"http://www.unsere_seite.de/adm/adm_program/modules/guestbook/guestbook.php?headline=G%C3%A4stebuch&moderation=0&start=60"
("unsere_Seite" steht für den richtigen Namen)
einfach in unser Gästebuch und in alle möglichen anderen ADMIDIO Inhalte !
Gibt es da eine (Anfänger-)Anleitung, wie ich das verhindern kann, per htaccess oder so ?
Gruß
Jens
Re: Sicherheit mit htaccess?
Dann wird der PHP Code der Datei auf dem Server ausgeführt, d.h. für die config.php werden Variablen befüllt. An den Client (Benutzer) wird davon nichts zurückgegeben, da keine HTML Anweisung (bzw. Zuweisung der Variable) in der Datei steht.
I am satisfied completely from the impressive working of the website of 1Y0-350 for the CAHSEE test.For more information about this product visit AccessData and also visit facebook ,best of luck.
-
jenskapmeyer
- Beiträge: 10
- Registriert: 8. Okt 2013, 12:28
Re: Sicherheit mit htaccess?
Hallo zetasj55,
danke für die Antwort!
Was kann ich nun dagegen tun, damit fremde Nutzer nicht durch ergoogeln von z.B.
"adm_program/modules/dates/dates.php"
auf die Inhalte von allen möglichen Webseiten zugreifen kann, die ADMIDIO nutzen ?
Gruß
Jens
danke für die Antwort!
Was kann ich nun dagegen tun, damit fremde Nutzer nicht durch ergoogeln von z.B.
"adm_program/modules/dates/dates.php"
auf die Inhalte von allen möglichen Webseiten zugreifen kann, die ADMIDIO nutzen ?
Gruß
Jens
Re: Sicherheit mit htaccess?
In den Modul-Einstellungen jeweils den Zugriff »nur auf angemeldete Benutzer« beschränken. Das hat bei den Terminen den Nachteil, daß ein Kalender-Abo dann wahrscheinlich nicht mehr funktioniert.jenskapmeyer hat geschrieben: Was kann ich nun dagegen tun, damit fremde Nutzer nicht durch ergoogeln von z.B.
"adm_program/modules/dates/dates.php"
auf die Inhalte von allen möglichen Webseiten zugreifen kann, die ADMIDIO nutzen ?
Ich habe für unsere Admidio-Installation eine robots.txt angelegt, die Suchmaschinen anweist, die Seite nicht in den Suchindex aufzunehmen. Das schützt nicht vor Leuten, die die Adresse kennen oder erraten, verhindert aber zufälliges ergoogeln der Seite.
Wenn Du Admidio in einer eigenen Subdomain installiert hast (z.B. http://admidio.MEINVEREIN.de), dann lege eine Datei in das Stammverzeichnis, die robots.txt heißt mit folgendem Inhalt:
Code: Alles auswählen
User-agent: *
Disallow: /Code: Alles auswählen
User-agent: *
Disallow: /admidio
Allow: /Achtung: Mit einer solchen robots.txt werden natürlich auch Teile von Admidio nicht mehr in Suchmaschinen aufgenommen, die öffentlich sein sollen – etwa öffentliche Gästebücher, Dateilisten, Links, Termine … Ggf. mußt Du einzelne Dateien, etwa die dates.php, wenn die Termine öffentlich sein sollen, explizit erlauben. Wie das geht, steht hier: http://www.robotstxt.org/robotstxt.html (damit kann aber die Adresse von Admidio wieder gegoogelt werden und es kann gezielt nach aus dem Suchindex ausgeschlossenen Dateien gesucht werden.)
Viele Grüße
Felix
