Hallo
Ich besitze einen eigenen server wo nur ich mit diversen Domains drauf bin.
Ich habe nun sehr vieles über register_globals und safe_mode gelesen, dabei viele interessante beiträge gefunden.
Jedoch eine frage:
Was ist normal bei den beiden optionen? on oder off? Also was hat man standartmässig auf webpaketen und warum? Habe heute nen scritpo gesehen das z.b. register_globlas on verlangt. da gibts ja einige.
Würde mich über konstruktive beiträge freuen.
Schöne vorweihnachtszeit!
Gruss
KoW
Safe_mod udn register_global auf einem eigenen server?
Re: Safe_mod udn register_global auf einem eigenen server?
Hallo,
savemode on
noch besser:
php als cgi einrichten und registerglobals off
Gruß, Wolfgang
registerglobals offKoW wrote: Was ist normal bei den beiden optionen?
savemode on
noch besser:
php als cgi einrichten und registerglobals off
Sicherheitund warum?
Dann such Dir ein besseres.Habe heute nen scritpo gesehen das z.b. register_globlas on verlangt.
Leider.da gibts ja einige.
Gruß, Wolfgang
Re: Safe_mod udn register_global auf einem eigenen server?
Ich habe diese Konfiguration bei mir gehabt:
register_globals off
savemode on
Also kann ich dies so beruhen lassen mti guten wissen udn gewissen?
War nur verstutzt da der oscommerce shop ja nicht sehr klein ist das der register_globals on verlangt
Gruss
KoW
register_globals off
savemode on
Also kann ich dies so beruhen lassen mti guten wissen udn gewissen?
War nur verstutzt da der oscommerce shop ja nicht sehr klein ist das der register_globals on verlangt
Gruss
KoW
Re: Safe_mod udn register_global auf einem eigenen server?
Such dir was besseres, wie wgot schon sagte. Es gibt keinen zwingenden Grund, beim Erstellen von einem Script auf register_globals off zu bauen.
Wer's dennoch macht, sollte sich ein anderes Hobby suchen ;)
Ansonsten, wer mal das Problem hat und ein solches Script unbedingt benutzen muss (aus welchem Grund auch immer): In einer guten IDE oder mit einem Script die Variablen raussuchen, für die es benötigt wird und eine Wrapper-Funktion schreiben.
cu
Wer's dennoch macht, sollte sich ein anderes Hobby suchen ;)
Ansonsten, wer mal das Problem hat und ein solches Script unbedingt benutzen muss (aus welchem Grund auch immer): In einer guten IDE oder mit einem Script die Variablen raussuchen, für die es benötigt wird und eine Wrapper-Funktion schreiben.
cu
Re: Safe_mod udn register_global auf einem eigenen server?
Ich glaube du meintest nicht auf register_:global son bauen oder? :)niemand wrote:Such dir was besseres, wie wgot schon sagte. Es gibt keinen zwingenden Grund, beim Erstellen von einem Script auf register_globals off zu bauen.
Wer's dennoch macht, sollte sich ein anderes Hobby suchen ;)
Ansonsten, wer mal das Problem hat und ein solches Script unbedingt benutzen muss (aus welchem Grund auch immer): In einer guten IDE oder mit einem Script die Variablen raussuchen, für die es benötigt wird und eine Wrapper-Funktion schreiben.
cu
Dnan lass ich
register_globals off
savemode on
und werde glücklich :)
bedanke mich herzlichst und wünsche schöne vorweihnachtszeit und fast angenehmen 3. adventssontag.
Gruss
KoW
Re: Safe_mod udn register_global auf einem eigenen server?
Hallo,
Gruß, Wolfgang
Du hast noch ein besseres Gewissen wenn Du PHP als CGI laufen läßt.KoW wrote:Ich habe diese Konfiguration bei mir gehabt:
register_globals off
savemode on
Also kann ich dies so beruhen lassen mti guten wissen udn gewissen?
wenn ein Script on verlangt mißachtet es aktuelle Sicherheitsaspekte. Vielleicht ist es einfach nur (ver)alt(et), dann ist es auch unter Sicherheitsaspekten nicht mehr aktuell, oder es wurde in den letzten Jahren geschrieben, dann hat sich der Programmierer nicht für eine elementare Sicherheitskomponente interessiert. Möchtest Du wirklich ausprobieren welche Sicherheitsaspekte er sonst noch vernachlässigt hat?das der register_globals on verlangt
Gruß, Wolfgang
Re: Safe_mod udn register_global auf einem eigenen server?
[quot]Ich glaube du meintest nicht auf register_:global son bauen oder?[/quote]
Stimmt, entschuldige.
cu
Stimmt, entschuldige.
cu
Re: Safe_mod udn register_global auf einem eigenen server?
Hi,
ich habe von der Thematik (Sicherheit Apache und PHP) leider auch noch nicht viel Ahnung, bin aber gerade am einlesen.
Allerdings gibt es für oscommerce einen Patch der das Register Globals "Problem" hehebt.
Gruß
weisnix
ich habe von der Thematik (Sicherheit Apache und PHP) leider auch noch nicht viel Ahnung, bin aber gerade am einlesen.
Allerdings gibt es für oscommerce einen Patch der das Register Globals "Problem" hehebt.
Gruß
weisnix
Re: Safe_mod udn register_global auf einem eigenen server?
Hallo
Habe grad mal die einzelnen webs angeschaut (Läuft mti Confixx3)
Dort ist diese einstellung bei phpinfo
safe_mode On Off
Also Local on Master off
Heisst dies das bei diesem web (bez bei allen, nehm i ja an weil bei allen webs so ist) das Safe_mode on ist aber grund einstellung ist off? Was ist denn genau der master wert? also von was? Ist ja bei allen webs on
Gruss
KoW
Habe grad mal die einzelnen webs angeschaut (Läuft mti Confixx3)
Dort ist diese einstellung bei phpinfo
safe_mode On Off
Also Local on Master off
Heisst dies das bei diesem web (bez bei allen, nehm i ja an weil bei allen webs so ist) das Safe_mode on ist aber grund einstellung ist off? Was ist denn genau der master wert? also von was? Ist ja bei allen webs on
Gruss
KoW
Re: Safe_mod udn register_global auf einem eigenen server?
Hallo,
leider bin ich mir nicht sicher ob ich das alles mit registerblobal verstehe und was ich da an meinen Scripten ändern müsste, eigneldich bedeitet doch das nur, dass die Variablen nicht automatisch in einer Variable mit dem übergebenen Namen aus der URL benannt wird. Oder so :lol:
Da ich von Perl her das nicht kenne habe ich eh stehts immer mit _POST gearbeitet und die Variabelen bei bedarf gefüllt. Werden den die Daten bei registerglo... OFF dann noch an _POST _GET _COOKIE übergeben oder an was werden die dan geschickt ?
Bidde nit druff hauen wenn die Frage zu blöd ist. Danke für die Hilfe.
Gruß
Markus
leider bin ich mir nicht sicher ob ich das alles mit registerblobal verstehe und was ich da an meinen Scripten ändern müsste, eigneldich bedeitet doch das nur, dass die Variablen nicht automatisch in einer Variable mit dem übergebenen Namen aus der URL benannt wird. Oder so :lol:
Da ich von Perl her das nicht kenne habe ich eh stehts immer mit _POST gearbeitet und die Variabelen bei bedarf gefüllt. Werden den die Daten bei registerglo... OFF dann noch an _POST _GET _COOKIE übergeben oder an was werden die dan geschickt ?
Bidde nit druff hauen wenn die Frage zu blöd ist. Danke für die Hilfe.
Gruß
Markus
Re: Safe_mod udn register_global auf einem eigenen server?
Hallo,
Gruß, Wolfgang
korrekt.Markus021 wrote:eigneldich bedeitet doch das nur, dass die Variablen nicht automatisch in einer Variable mit dem übergebenen Namen aus der URL benannt wird.
ja.Werden den die Daten bei registerglo... OFF dann noch an _POST _GET _COOKIE übergeben
Gruß, Wolfgang
Re: Safe_mod udn register_global auf einem eigenen server?
Hi,
wenn man nur einen Benutzer auf dem Server hat, dann kann man auch mod_php ohne Bedenken benutzen.
bye
Thorsten
wenn man nur einen Benutzer auf dem Server hat, dann kann man auch mod_php ohne Bedenken benutzen.
bye
Thorsten
-
Anonymous
Re: Safe_mod udn register_global auf einem eigenen server?
Natürlich weiss man nicht, was andere Mitbenutzer auf dem Server machen und das erhöht die Gefahr. Der Umkehrschluss, dass ein einzelner User (man selbst) nichts anstellen kann, stimmt aber wohl nicht.arty wrote: wenn man nur einen Benutzer auf dem Server hat, dann kann man auch mod_php ohne Bedenken benutzen.
Nach meinem Verständnis kommt es in erster Linie auf die Art des gehosteten PHP-Codes an, ob dieser für Exploit aufgrund von register_global=on durch Hacker empfänglich ist und was die Folgen eines solchen Exploits sind.
Das kann beim Installieren grösserer OpenSourcer Pakete wie die diversen CMS/Portal-Systeme, OsCommerce usw. durchaus der Fall sein, bei selbstgeschriebenem Code ebenso.
Siehe auch die Besprechung dazu in der offiziellen php Doku unter:
http://www.php.net/manual/de/security.globals.php
HTH
Snoopy
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Safe_mod udn register_global auf einem eigenen server?
Gemeint war sicherlich: Wenn man nur 1 (in Worten: einen) Benutzer auf dem Server hat...Snoopie wrote:Natürlich weiss man nicht, was andere Mitbenutzer auf dem Server machen und das erhöht die Gefahr. Der Umkehrschluss, dass ein einzelner User (man selbst) nichts anstellen kann, stimmt aber wohl nicht.arty wrote: wenn man nur einen Benutzer auf dem Server hat, dann kann man auch mod_php ohne Bedenken benutzen.
Re: Safe_mod udn register_global auf einem eigenen server?
so hatte ich es auch geschrieben: 1 Benutzer auf dem Server, ab dem zweiten habe ich ein Multiusersystem und Shared Hosting.Roger Wilco wrote:Gemeint war sicherlich: Wenn man nur 1 (in Worten: einen) Benutzer auf dem Server hat...Snoopie wrote:Natürlich weiss man nicht, was andere Mitbenutzer auf dem Server machen und das erhöht die Gefahr. Der Umkehrschluss, dass ein einzelner User (man selbst) nichts anstellen kann, stimmt aber wohl nicht.arty wrote: wenn man nur einen Benutzer auf dem Server hat, dann kann man auch mod_php ohne Bedenken benutzen.
bye
arty