nicht angemeldet
AllowOverride echtes Risiko oder Druckmittel?
Hallo Ihr Lieben,
damit im virtuellen Team Dokumente allen TeilnehmerInnen zügig zur Verfügung stehen, ist "Verzeichnis Browsing" eine praktische Sache.
Doch kaum war alles aufgebaut, muss ich die frisch gesammelten Erfahrungen schon wieder einmotten. :-(
http://selfhtml.teamone.de/diverses/htaccess.htm#browsing
Auf dem neuen Server wird "AllowOverride Options" nicht mehr frei gegeben.
Frage: ist das eine berechtigte Maßnahme zur leider immer mehr notwendig werdenden Sicherheit? Was kann denn damit böses angestellt werden?
Mir kam das Argument mit dem dedizierten Server - auf dem ich das ja könne - zu schnell, als dass ich nicht vermuten müsste, man will mir auf diese Art einfach eine teurere Leistung andrehen.
-
hallo ebenfalls,
Auf dem neuen Server wird "AllowOverride Options" nicht mehr frei gegeben.
Frage: ist das eine berechtigte Maßnahme zur leider immer mehr notwendig werdenden Sicherheit?möglicherweise, aber nicht unbedingt. Was ist denn jetzt bei "AllowOverride" möglich? weitergehende Info findest dz zum Beispiel unter http://httpd.apache.org/docs-2.0/mod/core.html#allowoverride
Christoph S.
-
hallo Christoph,
vielen Dank für Deine Antwort
möglicherweise, aber nicht unbedingt.
hm *grübel*
netzrose
-
-
Hallo Du Armer Lieber,
Auf dem neuen Server wird "AllowOverride Options" nicht mehr frei gegeben.
Frage: ist das eine berechtigte Maßnahme zur leider immer mehr notwendig werdenden Sicherheit? Was kann denn damit böses angestellt werden?
Um was für einen Server handelt es sich denn?
Könnte auch ein techisches Problem sein.Ich habe seit unserer Serverumstellung auch Probleme mit AllowOverride und dementsprechend auch mit .htaccess Ich darf keine Order Optionen mehr benutzen. Das verrückte ist, dass keine der beiden Alternativen deny,allow oder allow,deny mehr gehen.
Dementsprechend kann ich auch keinen Verzeichnisschutz mit .htaccess mehr realisieren. Bald brennt die Hütte und ich finde den Fehler nicht.
Hier gabs noch jemand, dem es so geht. Der hatte aber wohl auch einen eigenen Server laufen.
Wir sollten uns da nochmal kurzschließen. Könnte ja auch ein Software-Bug sein oder wir haben irgend ein Modul vergessen.
Grüße
Tom
-
Hallo Tom,
Um was für einen Server handelt es sich denn?
Könnte auch ein techisches Problem sein.Nein. Das nennt man neuerdings "sorgfältig durchdachtes Sicherheitskonzept".
Da wird mir einfach was weg genommen, was vorher ging und was bei SELFHTML auch so schön beschrieben ist.
Mein Verdacht hat sich hier nochmal bestätigt. Der Zulieferer sollte nicht einfach auf Kosten meines Komforts sein Sicherheitskonzept durchziehen. Der muss eines erstellen, das genau so wirkunsvoll ist, aber mich und meine Wünsche als Kunden respektiert.
Ich hatte immerhin sehr sehr viel Glück, dass mir Daniel von hier zur Seite stand und ich nicht tagelang nach Fehlern suchte, sondern er ganz schnell feststelle, dass es an der Konfiguration des Zulieferers lag.
Das ist ja wohl ähnlich, wie mit dem Zugangsprovider, wie oft habe ich die Kiste auseinander geschraubt, alles mögliche frisch installiert, nur weil die ja prinzipiell nicht zugeben können, dass da was nicht läuft - die wissen, dass die Kunden ihre Kisten auseinander nehmen, trotzdem stellen die ihre Taktik nicht um.
Und mir scheint, was Du schilderst, da sieht es vielleicht ähnlich aus.
cu
netzrose
-
-
Hallo Jutta,
damit im virtuellen Team Dokumente allen TeilnehmerInnen zügig zur
Verfügung stehen, ist "Verzeichnis Browsing" eine praktische Sache.yep.
Auf dem neuen Server wird "AllowOverride Options" nicht mehr frei
gegeben.
Frage: ist das eine berechtigte Maßnahme zur leider immer mehr
notwendig werdenden Sicherheit?'Jein' (siehe unten).
Ein Server muß natürlich robuster konfiguriert sein, wenn man den
Kunden erlaubt, darauf herumzuturnen (ich darf nicht nur eigene CGI-
Skripte laufen lassen, sondern per SSH-Dialog-Zugang auch beliebige
Programme lokal installieren und laufen lassen, und über cron-Jobs
auch einiges automatisieren - in einem Webspace für 5 Euro/Monat
muß so etwas auch drin sein, finde ich), als wenn die Kunden nur
statische HTML-Seiten hochladen dürfen.Und genau an dieser Stelle öffnet "Options" nun mal einige Türen auf
einem schlampig installierten Server.
(Den, auf dem meine eigene Domain liegt, habe ich mir auf shell-Ebene
gründlich angesehen und nichts gefunden, was mir selbst gefährlich
erschien - insbesondere konnte ich weder auf Daten noch auf Konfigura-
tionen anderer Kunden zugreifen, obwohl ich beispielsweise die Apache-
Konfiguration sehr wohl gefunden habe und die ungefährlichen Teile
davon auch lesen durfte - die kundenspezifischen nicht.)Was kann denn damit böses angestellt werden?
Das kommt darauf an,
a) was der Provider Dir ansonsten alles erlaubt,
b) wieviel Ahnung er von seiner Materie hat und
c) wie knapp er die Last auf seinem Server dimensioniert hat.Wie Du an
http://aktuell.de.selfhtml.org/artikel/server/htaccess-faq/#a6
sehen kannst, ist "AllowOverride Options" leider die eierlegende
Wollmilchsau. Damit kann man insbesondere CGI, SSI und Multiviews
einschalten und in beliebiger Form selbst konfigurieren.
Wenn Dein Webspace-Paket auch nur _irgendwas_ aus dieser Menge nicht
enthält, dann muß der Provider Dir diese Direktive entziehen, weil
Du es Dir sonst gegen seinen Willen "genehmigen" könntest.Und genau diese ganzen Server-Parsing- und Negotiation-Dienste brin-
gen nun mal Last auf den Server, vor allem wenn man sie rücksichtslos
konfiguriert (beispielsweise *.htm auf den SSI-Handler mapped usw.).
Falls der Provider also so viele Kunden auf derselben Maschine hat,
daß einer von diesen mit Verzehnfachung seiner Last plötzlich allen
anderen weh tun könnte, wäre es verständlich, daß er sich gegen
Streuungen dieser Art verteidigen möchte.Andererseits könnte (und sollte!) er Dir dann aber für Deine Domain
(oder besser gleich allen seinen Kunden) "AllowOverride Indexes"
eintragen. Das würde für FancyIndexing allemal ausreichen, wie Du in
http://httpd.apache.org/docs/mod/mod_autoindex.html
sehen kannst ("Override" sagt jeweils, welche Berechtigung erforder-
lich ist, um diese Direktive in einer .htaccess-Datei zu verwenden).Bei meinem Provider waren es die MultiViews, die nicht freigeschaltet
waren; das hat er aber nach einer entsprechenden E-Mail (wo ich ihm
diktiert hatte, welche Zeile er eintragen sollte) nachgeholt.Ähnlich war es mit dem eigenen error_log für meine Domain ... das
habe ich auch erst auf Nachfrage bekommen. Wenn man selbst .htaccess
einsetzt, ist ein error_log m. E. aber dringend notwendig, weil dort
die Meldungen bei eigenen Konfigurationsfehlern landen ...Mir kam das Argument mit dem dedizierten Server - auf dem ich das
ja könne - zu schnell, als dass ich nicht vermuten müsste, man will
mir auf diese Art einfach eine teurere Leistung andrehen.Neulich hatte ich ein Problem, daß meine CGI-Skripte keine per
"SetEnv" gesetzten Environment-Variablen sehen können, obwohl diese
Direktive nicht gesperrt ist - daraufhin hat er mich ebenfalls mit
dem "dann mach Dir doch einen eigenen Server"-Sermon abgespeist. (Das
hängt wohl auch darauf ab, an welchen Support-Typ man gerade gerät.)Es ist schon verständlich, daß er für die paar Mark fuffzich pro
Domain nicht jeden Virtual Host individuell konfigurieren möchte- das ist einfach nicht bezahlbar.
Andererseits sollte er dann logischerweise wirklich in .htaccess
aufmachen, was nur möglich ist, um sich alleine Supportfragen wie
die Deine vom Hals zu schaffen ... und wenn Du bereits CGI und SSI
darfst, dann kannst Du mit AllowOverride All auch nichts mehr an-
richten, was wirklich schlimm wäre. (Ein CGI-Skript mit einer Endlos-
Ausgabeschleife ist nämlich auch schon ziemlich lästig für den Server.)
Die Frage ist halt auch, ob Du Dir einen eigenen Server antun möchtest.
Das bedeutet nämlich ggf. auch, daß Du selbst dafür zuständig bist,
ob der Server läuft, ob die aktuellste Version der Software mit den
entsprechenden bug fixes installiert ist, welche Services auf der
Maschine laufen (und Last schlucken und Angriffspunkte bieten) und
was noch alles.Ich selbst verstehe von Netzwerken nicht genug, um mir das zuzumuten.
Ein eigener Server ist mehr Verantwortung als nur an der Apache-
Konfiguration zu schrauben (den zu installieren und zu konfigurieren
würde ich hinkriegen). Insofern lebe ich damit, daß mein Provider
mir auch nicht alles erlaubt ... jedenfalls solange, bis ich an eine
Stelle komme, wo es mich wirklich funktionell einschränkt.
(gzip_cnc ist genau aus einer solchen Einschränkung entstanden ...
ich kann ja wohl schlecht eine Site über die Vorzüge der komprimierten
Auslieferung von Webseiten ins Netz stellen und _diese_ Seiten dann
selbst _nicht_ komprimiert ausliefern ...)Viele Grüße
Michael-
Hallo Michael,
vielen Dank für Deinen umfassenden, interessanten und verständlichen Beitrag.
Struktur und Aufbau war auf dem Server angelegt worden, auf dem noch die meisten meiner Domains liegen. Für das Team hatte ich eine neue Domain und diese gleich auf dem neuen Rechner eingerichtet. Dort ging dann plötzlich alles nicht mehr. Jetzt bin ich mit der Domain eben zähneknirschend umgezogen, weil ich auf diese Möglichkeiten nicht verzichten kann und will. Eine Art Notlösung also für höchstens ein Jahr.
Aber, dass sich da heute jemand für mich hinsetzt und mir so ausführlich antwortet, das hat mich jetzt doch wieder viel versöhnlicher gestimmt. :-)
Viele Grüße
jutta
-
Hallo Jutta,
Aber, dass sich da heute jemand für mich hinsetzt und mir so ausführlich
antwortet, das hat mich jetzt doch wieder viel versöhnlicher gestimmt.
:-)das Netz funktioniert m. E. am besten mit Geben und Nehmen - und Du bist
halt jemand, der gibt ... das macht es besondere Freude, Dir auch mal
helfen zu dürfen.Viele Grüße
Michael
-
- das ist einfach nicht bezahlbar.