Sicherheit und .inc-Dateien

[marky]

Hallo,

wiele fertige PHP-Skripte verwenden .inc-Dateien, um Passwörter und Zugangsdaten oder andere sicherheitsrelevante Daten zu hinterlegen. Bedauerlicherweise lassen sie sich auf meinem Server per HTTP aufrufen und downloaden.

Wie kann ich dies unterbinden?

Eine Möglichkeit wäre, dass ich in jedes Verzeichnis eine .htaccess-Datei, was mir aber zu unprofessionel ist. Weiß jemand eine andere?

Danke
Marky

[oxygen]

So: .inc.php

[marky]

...das es durch Umbenennen der Dateieien geht, weiß ich auch. Nur ist das noch unprofessioneller als die Lösung mit den .htaccess-Dateien, da ich in etlichen Skripten Anpassungen vornehmen müsste.

Weiß nicht jemand eine professionelle Lösung?

[oxygen]

Tja wenn man so schlechte php Skripte verwendet darf man sich halt nicht wundern, sondern muss selbst Hand anlegen. Was soll daran bitte unprofessionell sein? Eine andere Möglichkeit wäre natürlich .inc auch durch den PHP Interpreten zu jagen.

[sascha]

Du kannst die .inc Dateien auch unterhalb des Document Roots ablegen. Bei Confixx Systemen eignet sich dafür z.B. das "files" Verzeichnis recht gut.

[dodolin]

Du kannst die .inc Dateien auch unterhalb des Document Roots ablegen.

s/unterhalb/auserhalb

Dann ACK. Ich frage mich ja, warum vorher hier noch keiner auf diese Idee kam. Das ist doch das Selbstverständlichste überhaupt, oder nicht?!

Ich habe langsam das Gefühl, dass es im Bereich "Security" hier bei vielen Usern im Forum noch sehr schlecht bestellt ist. Aber gut, dafür sind wir ja da, um dem wenigstens ein wenig Abhilfe zu leisten... :)

Aber abnehmen kann man das Lernen niemandem.

[sascha]

Ach ja, es geht natürlich auch mit der <Files> Direktive in der httpd.conf Deny from all.. so wie bei .ht* Dateien.

[lemon]

man könnte die doch mit entsprechenden chmoden.. allerdings kommts ja dann drauf an, unter was der apache läuft ?

[oxygen]

Du kannst die .inc Dateien auch unterhalb des Document Roots ablegen.

s/unterhalb/auserhalb

Dann ACK. Ich frage mich ja, warum vorher hier noch keiner auf diese Idee kam.

Wenn er die Datei noch nicht mal umbennen will, warum sollte er sie verschieben wollen? Das wäre ja noch viel "unprofesioneller".

[gierig]

Ich habe einfach eingestellt *.inc daeienauch durch PHP ausgeliefert werden. Bei meinen scripten (phpborad, apportel, usw) habe ich
damit ruhe.

[dodolin]

Wenn er die Datei noch nicht mal umbennen will, warum sollte er sie verschieben wollen? Das wäre ja noch viel "unprofesioneller".

"Unprofessionell" ist das, was ihr hier veranstaltet: "Sicher" ist anders. Aber egal, gewarnt habe ich ja. Mehr kann ich euch auch nicht helfen.

[marky]

Also ich habe jetzt in der httpd.conf einen Eintrag gemacht, um sicherheitshalber den Zugriff auf .inc-Dateien ganz zu verbieten. Zudem habe ich mir die Mühe gemacht alle .inc-Dateien in .inc.php umzubenennen (was tut man nicht alles für die Sicherheit :-). Schließlich stellt sich mir noch die Frage, ob ich .inc.php-Dateien, die wichtige Passwörter (Zugang für die MySQL-Datenbank) enhalten, anderen Orts platzieren soll.

Ist das wirklich bedeutend sicherer (und warum)?

Welches Verzeichnis schlagt ihr vor, wenn <root>/home/www/web1/html mein Webverzeichnis ist?

[oxygen]

Wenn er die Datei noch nicht mal umbennen will, warum sollte er sie verschieben wollen? Das wäre ja noch viel "unprofesioneller".

"Unprofessionell" ist das, was ihr hier veranstaltet: "Sicher" ist anders. Aber egal, gewarnt habe ich ja. Mehr kann ich euch auch nicht helfen.

Ironie-Detektor justieren ;)

[marky]

Kann mir das mal jemand kompetent beantworten?

Schließlich stellt sich mir noch die Frage, ob ich .inc.php-Dateien, die wichtige Passwörter (Zugang für die MySQL-Datenbank) enhalten, anderen Orts platzieren soll.

Ist das wirklich bedeutend sicherer (und warum)?

Welches Verzeichnis schlagt ihr vor, wenn <root>/home/www/web1/html mein Webverzeichnis ist?

[darkspirit]

So schwer ist es wirklich nicht. ".inc" ist schlecht, ".inc.php" besser, denn es wird geparst. Wenn keine "echo $MeineZugangsdaten" drin ist, ist das recht sicher. Besser ist es aber trotzdem, das ganze aus dem Apache-DocRoot zu nehmen, damit überhaupt kein direkter Zugriff möglich ist.. denn wenn du einmal unachtsam PHP irgendwie deaktivieren solltest, liegt der Source der Dateien offen im Netz rum.. und das willst du sicher nicht ;)

[marky]

zunächst danke für die kompetente (!) Antwort :-)

Besser ist es aber trotzdem, das ganze aus dem Apache-DocRoot zu nehmen, damit überhaupt kein direkter Zugriff möglich ist.. denn wenn du einmal unachtsam PHP irgendwie deaktivieren solltest, liegt der Source der Dateien offen im Netz rum...

Sicherheitshalber habe ich folgende Zeilen in die Datei <root>etc/httpd/httpd.conf aufgenommen und damit die Ausgabe von .inc.php-Dateien verboten

Code: Select all

<FilesMatch ".inc.php$>
    Order allow,deny
    Deny from all
</FilesMatch>

Ist es jetzt noch notwendig, diese Dateien auszulagern? Meines Erachtens wäre das übertrieben, da ich mir keine Möglichkeit denken kann, bei der nun jemand die Dateien zu gesicht bekommen könnte, oder?