nicht angemeldet
1&1 unsicher...
Ein Kumpel von mir hat einen Account bei 1&1. Wir haben ein kleines Script (PHP) zum Surfen auf dem Webserver (à là Windows Explorer) gemacht. Hierbei ist uns aufgefallen das man bis in den Document Root des Apaches kommt. Es lassen sich alle Dateien auslesen / herunterladen. Löschen hat nicht funktioniert. Auf eine EMail an 1&1 vor einer Woche kam bisher keine Reaktion. Also viel Spass mit dem Bug, möge 1&1 merken das sie mal was ändern sollten...
-
Hallo Dreadnaught,
Ein Kumpel von mir hat einen Account bei 1&1. Wir haben ein kleines Script (PHP) zum Surfen
auf dem Webserver (à là Windows Explorer) gemacht. Hierbei ist uns aufgefallen das man bis
in den Document Root des Apaches kommt. Es lassen sich alle Dateien auslesen / herunterladen.Das ist kein Bug. Es ist eben so. Das kann man nicht (so einfach) ändern. Das ist kein
triviales Problem. Shared Hosting bedeutet immer, dass man Probleme mit den Zugriffsrechten
hat. Der Apache läuft ja nur mit einem User und muss alle Dateien von allen Virtual Hosts
lesen können. 1&1 hätte zwar open_basedir setzen können, aber für Perl oder Ruby z. B. gibt
es eine solche Möglichkeit nicht.Eine mögliche Absicherung wären Jails. Pro Kunde ein Jail. Das bedeutet, pro Kunde eine Kopie
des Basis-Systems sowie eine IP. Also nicht sonderlich praktikabel für viele Kunden... und
das perchild-MPM von Apache funktioniert noch nicht.Löschen hat nicht funktioniert.
In dem Fall ist doch alles in Ordnung.
Also viel Spass mit dem Bug, möge 1&1 merken das sie mal was ändern sollten...
Dann erzähle uns doch mal, wie du es lösen würdest.
Grüße,
CK--
Wenn du gehst, gehe. Wenn du sitzt, sitze. Und vor allem: schwanke nicht!-
Ich weiß nicht wie ich es lösen kann, aber das ist auch nicht meine Aufgabe. Ich wollte nur mal darauf aufmerksam machen das dieses Problem vorhanden ist, und eigentlich ist kein Problem unlösbar. Ob der Aufwand lohnt, vermag ich aber auch nicht zu beurteilen. Aber das herunterladen von in Dateien gespeicherten Zugangsdaten würde ich als gefährliche Sicherheitslücke definieren.
-
Hallo Dreadnaught,
Ich weiß nicht wie ich es lösen kann,
Dann mache das bitte mit dem Support von 1&1 aus und poste sowas hier nicht rum.
Ich wollte nur mal darauf aufmerksam machen das dieses Problem vorhanden ist, und
eigentlich ist kein Problem unlösbar.Dieses Problem existiert, seit es Massenhoster gibt. Und bisher hat es niemand sinnvoll
gelöst.Aber das herunterladen von in Dateien gespeicherten Zugangsdaten würde ich als
gefährliche Sicherheitslücke definieren.Nur User, die einen Account auf dem Server haben, können etwas derartiges machen. Ansonsten
ist dein Script kaputt.Grüße,
CK--
So, wie ein Teil ist, ist das Ganze.-
Hello CK,
Dann mache das bitte mit dem Support von 1&1 aus und poste sowas hier nicht rum.
das ist mMn nicht die richtige Einstellung. Dies ist doch ein Fachforum für "HTML und alles darum herum". Da sollte es auch erlaubt sein, eine solche Beobachtung zur Diskussion zu stellen. Vielleicht hilft es ja auch dem einen oder anderen "Minihoster" unter uns, sein System sicherer zu machen. Ich lese diese Infos gerne. Man sollte sie polemikfrei hinnehmen und eben einfach nicht antworten, wenn man keine Lust dazu hat.
Es ist dann wohl ein Problem vom Apachen, oder?
Liebe Grüße aus http://www.braunschweig.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen-
Hallo Tom,
Dann mache das bitte mit dem Support von 1&1 aus und poste sowas hier nicht rum.
das ist mMn nicht die richtige Einstellung.
Korrekt. Die richtige Einstellung wäre es, um eine Lösung bemüht zu sein und nicht an reiner
Schlechtmacherei des Providers.Grüße,
CK--
Willst du die Freuden dieser Welt geniessen, so musst du auch ihr Leid erdulden.-
Hello Christian,
Korrekt. Die richtige Einstellung wäre es, um eine Lösung bemüht zu sein und nicht an reiner
Schlechtmacherei des Providers.So gesehen stimme ich Dir zu. Das bloße Schlechtmachen ist eine üble Angewohnheit einiger Leute, aber weit verbreitet in der Welt. Wir sollten also die Augen davor nicht verschließen, sondern es als Training ansehen. Das ist ungefähr so wie mit den Frauen, die ihre Männer verbal so sehr piesacken, dass die sie nachher verprügeln. Die Männer sind einfach rhethorisch untrainiert und rasten dann eben aus. Also lass doch die Schlechtmacher ruhig ihre Spitzen setzen. Einen wahren Hintergrund haben die meistens, das macht das ganze doch so gemein.
:-)
Liebe Grüße aus http://www.braunschweig.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen -
Hallo.
Korrekt. Die richtige Einstellung wäre es, um eine Lösung bemüht zu sein und nicht an reiner
Schlechtmacherei des Providers.Und da ich dich gerade einmal wieder einmal an der Strippe habe, möchte ich völlig emotionslos einen winzigen Fehler des derzeitigen Forums melden: Die Pfeil-Grafik, die dich von diesem Text zum Formularteil schickt, hat einen falschen Alternativtext. -- Ja, ich weiß, dass es besser geeignete Stellen gibt, Fehler zu melden. Aber ich konnte auf die Schnelle keine finden ;-)
MfG, at
-
-
-
-
-
-
Hallo Dreadnaught,
Ein Kumpel von mir hat einen Account bei 1&1.
Was soll man darunter verstehen?
Wir haben ein kleines Script (PHP) zum Surfen auf dem Webserver (à là Windows Explorer) gemacht.
Vielleicht könntest du uns... deine Art des Accountes mitteilen?
Hierbei ist uns aufgefallen das man bis in den Document Root des Apaches kommt.
Wieso auch nicht. KOmmt auf euer "Account" an.
Es lassen sich alle Dateien auslesen / herunterladen.
Je nach eurem Account ist das auch ganz sinnvoll.
Löschen hat nicht funktioniert.
Das ist je nach eurem Account auch ganz sinnvoll ;)
Auf eine EMail an 1&1 vor einer Woche kam bisher keine Reaktion.
Hast du schon mal daran gedacht, dass es vielleicht beabsichtigt ist?
Also viel Spass mit dem Bug, möge 1&1 merken das sie mal was ändern sollten...
wieso wünscht du uns viel Spaß, wenn du a) uns nicht den genauen NAmen deines "Account"s nennst und b) hier haben sowieso garantiert mehr als 95% nicht dein "Account" bei 1&1 ...
WauWau
--
ss:) zu:) ls:< fo:~ de:] va:) ch:° n4:# rl:( br:< js:| ie:% fl:| mo:|
WauWau E-Mail: coming soon -
hallo Dreadnaught,
1. läuft bei 1und1 der Webserverprozess unter Deinem eigenen Namen.
2. was ist daran so schlimm, wenn Du Deinen eigenen document_root siehst?
3. kannst Du denn die Daten von anderen accounts lesen oder schreiben?
4. ist es bei Unix so üblich, dass es allgemein zugängliche Dateien gibt.
5. ein sauberer eingerichtetes System als bei 1und1 habe ich bei noch keinem (ich kenne zwar nicht alle, aber doch schon einige)deutschen Massenhoster gesehen.
6. selbst im /tmp Verzeichnis wird sticky gearbeitet.Grüße Oesi
-
Moin!
Es lassen sich alle Dateien auslesen / herunterladen.
Wenn es sich um statische HTML-Seiten handelt sehe ich da kein Problem. Wenn ein Zugriff auf .ht* besteht schon eher.
[1] Fakt ist: ich hab auch mal vor einiger Zeit mit einer "Webshell" nachgeschaut. Man kann zwar nach unten (Richtung Wurzel), aber nicht in die Verzeichnisse der anderen Kunden reinschauen. Ich habe einen Account mit CGI+Datenbank. Aus meiner Erfahrung heraus ist 1und1 also diesbezüglich sicher.
[2] Komisch. Mir antwortet der Kundendienst immer auf meine Mailanfragen. Wenn ich mit den Antworten nicht zufrieden bin liegt das meist an meiner Frage oder ich bitte um ergänzende Informationen.
[3] Zur Zeit hat der Kundendienst von 1und1 wohl mit vielen Kundenanfragen zu kämpfen, weil eine Firma aus England verwirrende Briefe betreffs des Status einiger Domains geschrieben hat. In dieser Situation ist bei der eMailanfrage ein wenig Geduld erforderlich.
[4] Ich würde mich schon wundern, wenn ausgerechnet ein Unternehmen, welches mit der hohen technischen Kompetenz von Schlund+Partner (für mich diesbezüglich der Marktführer) ausgestattet ist, einen solchen Fauxpas bieten würde.
[Ja] Ich bezahle 1und1. (Bitte diesen Satz genau lesen.)
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch für seriöse Agenturen.