nicht angemeldet
im cgi-bin Direktzugriff auf alle Dateien sperren ausser .pl
Hallo
welche Möglichkeiten gibt es, womit ich ein Direkaufruf von Dateien im cgi-bin verhindern kann?
*.pl bzw. *.cgi sollen aufgerufen werden
alle anderen Dateien dürfen nicht aufgerufen werden
Janine :-)
-
hallo Janine,
welche Möglichkeiten gibt es, womit ich ein Direkaufruf von Dateien im cgi-bin verhindern kann?
Normalerweise wird das ohnehin verhindert. Wenn du dein cgi-bin aufrufst, solltest du ein "forbidden" erhalten.
*.pl bzw. *.cgi sollen aufgerufen werden
Du kannst dem Server, falls es denn ein Apache ist, mitteilen, welche "Extensions" er als CGI-fähig behandeln soll. Dazu gibt es die Anweisung AddHandler.
alle anderen Dateien dürfen nicht aufgerufen werden
Werden sie "normalerweise" auch nicht, es sei denn, du hast das explizit irgendwo erlaubt.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
Hallo Christoph
welche Möglichkeiten gibt es, womit ich ein Direkaufruf von Dateien im cgi-bin verhindern kann?
Normalerweise wird das ohnehin verhindert. Wenn du dein cgi-bin aufrufst, solltest du ein "forbidden" erhalten.
bekomm ich leider nicht
*.pl bzw. *.cgi sollen aufgerufen werden
Du kannst dem Server, falls es denn ein Apache ist, mitteilen, welche "Extensions" er als CGI-fähig behandeln soll. Dazu gibt es die Anweisung AddHandler.
ich verwende pd-admin, cgi-Scripte kann ich überall ausführen, welche Dateiendungen als CGI laufen sollen, kann ich per .htaccess festlegen
AddHandler cgiwrap .pl .cgi .irgendetwas
die Dateien müssen nicht zwingend im cgi-bin sein
alle anderen Dateien dürfen nicht aufgerufen werden
Werden sie "normalerweise" auch nicht, es sei denn, du hast das explizit irgendwo erlaubt.
nein hab ich nicht
welche Möglichkeit habe ich denn?
grüße nach berlin
Janine -
Holla
wäre das eine geeignete Lösung?
Deny from all
<FilesMatch ".(pl|cgi)$">
Order Deny,Allow
Allow from all
</FilesMatch>Grüße nach Berlin
Janine-
hallo Janine,
wäre das eine geeignete Lösung?
Deny from all
<FilesMatch ".(pl|cgi)$">
Order Deny,Allow
Allow from all
</FilesMatch>FilesMatch wäre eine Möglichkeit, ja. Die Form, in der du es gebrauchen möchtest, ist aber möglicherweise renovierungsbedürftig. Näheres dazu bitte in der Apacha-Doku nachlesen (ich kann im Moment keinen Link liefern, die Adresse http://httpd.apache.org/docs/2.0 scheint augenblicklich down zu sein oder überlastet. Das passiert leider ab und an.
Aber du müßtest mal genauer aussagen, was das denn für ein Server ist. In https://forum.selfhtml.org/?t=113008&m=716445 hast du gesagt:
ich verwende pd-admin, cgi-Scripte kann ich überall ausführen
Und genau das ist eben _nicht_ Voreinstellung. Ich weiß übrigens nicht, was "pd-admin" ist. Normalerweise ist ein Apache-Server so eingestellt, daß CGI-Scripts eben _nicht_ von überall aus ausführbar sind, und das hat auch gute Gründe. Wenn man es trotzdem so haben will, muß man es gesondert erlauben.
Weiterhin hast du gesagt:AddHandler cgiwrap .pl .cgi .irgendetwas
Was dieses "cgiwrap" soll, ist mir rätselhaft, und da die Apache-Doku derzeit für mich nicht erreichbar ist, kann ich dort auch nix nachlesen. Ein "cgiwrap" gibt es meines Wissens nicht, da muß dein Provider doch irgendwas Besonderes gefummelt haben, und dieses "Besondere" mußt du schon erstmal erklären, ehe dir hier im Forum irgendjemand tatsächlich eine hilfreiche Antwort geben kann.
Grüße nach Berlin
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
Hallo Janine,
wäre das eine geeignete Lösung?
Deny from all
<FilesMatch ".(pl|cgi)$">
Order Deny,Allow
Allow from all
</FilesMatch>FilesMatch wäre eine Möglichkeit, ja. Die Form, in der du es gebrauchen möchtest, ist aber möglicherweise renovierungsbedürftig.
wie meinst du das?
was meinst du mit "renovierungsbedürftig"?Näheres dazu bitte in der Apacha-Doku nachlesen (ich kann im Moment keinen Link liefern, die Adresse http://httpd.apache.org/docs/2.0 scheint augenblicklich down zu sein oder überlastet. Das passiert leider ab und an.
wenn ich wüßte, was du meinst, könnte ich nachschlagen :-)
Aber du müßtest mal genauer aussagen, was das denn für ein Server ist. In https://forum.selfhtml.org/?t=113008&m=716445 hast du gesagt:
ich verwende pd-admin, cgi-Scripte kann ich überall ausführen
Und genau das ist eben _nicht_ Voreinstellung. Ich weiß übrigens nicht, was "pd-admin" ist. Normalerweise ist ein Apache-Server so eingestellt, daß CGI-Scripts eben _nicht_ von überall aus ausführbar sind, und das hat auch gute Gründe. Wenn man es trotzdem so haben will, muß man es gesondert erlauben.http://www.pd-admin.de
hat es Vorteile, wenn man cgi-Scripte nur vom cgi-bin ausführen kann?
bzw. welche Nachteile hatr es, wenn amn die von überall ausführen kann?
PHP kann man ja auch eigentlich von überall ausführenWeiterhin hast du gesagt:
AddHandler cgiwrap .pl .cgi .irgendetwas
Was dieses "cgiwrap" soll, ist mir rätselhaft, und da die Apache-Doku derzeit für mich nicht erreichbar ist, kann ich dort auch nix nachlesen. Ein "cgiwrap" gibt es meines Wissens nicht, da muß dein Provider doch irgendwas Besonderes gefummelt haben, und dieses "Besondere" mußt du schon erstmal erklären, ehe dir hier im Forum irgendjemand tatsächlich eine hilfreiche Antwort geben kann.http://cgiwrap.sourceforge.net/
PHP wird bei pd-admin auch über dieses cgiwrap ausgeführtps. es ist mein Server, pd-admin installiert und schon lief alles :-)
grüße wieder nach Berlin ;-)
Janine-
hallo Janine,
Hallo Janine
hehe, du führst Selbstgespräche *g*
was meinst du mit "renovierungsbedürftig"?
Ich meinte damit, daß im Zweifelsfall die Aussagen der Apache-Doku ausschlaggebend sind (jetzt kriege ich sie wieder zu sehen).
hat es Vorteile, wenn man cgi-Scripte nur vom cgi-bin ausführen kann?
Jaein. Es hat historische (und auch logistische) Gründe, weshalb der Apache so ein Verzeichnis vorgesehen hat. Aber du hast ja noch gar nicht gesagt, daß dein "Server" tatsächlich ein Apache ist.
bzw. welche Nachteile hatr es, wenn amn die von überall ausführen kann?
Daß man in solche Verlegenheiten geraten kann, wie du sie gerade zu überwinden hast?
PHP kann man ja auch eigentlich von überall ausführen
Das ist was andres als Perl, für das das cgi-bin ursprünglich konzipiert wurde.
PHP wird bei pd-admin auch über dieses cgiwrap ausgeführt
PHP hat mit deinem cgi-bin höchstwahrscheinlich absolut nichts zu tun.
ps. es ist mein Server
Was heißt hier "mein", läuft der nur bei dir zuhause auf dem eigenen Rechner, oder ist das ein angemieteter Server bei irgendeinem Provider? Wenn es ein solcher angemieteter Server ist, was sagt dann dein Provider zu deinem Problem?
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
hallo Christoph,
Hallo Janine
hehe, du führst Selbstgespräche *g*
eigentlich wollte ich dein Name kopieren, hab wohl den falschen erwischt *g*
was meinst du mit "renovierungsbedürftig"?
Ich meinte damit, daß im Zweifelsfall die Aussagen der Apache-Doku ausschlaggebend sind (jetzt kriege ich sie wieder zu sehen).
von dort hab ich mein Eintrag ja abgeleitet *g*
hat es Vorteile, wenn man cgi-Scripte nur vom cgi-bin ausführen kann?
Jaein. Es hat historische (und auch logistische) Gründe, weshalb der Apache so ein Verzeichnis vorgesehen hat. Aber du hast ja noch gar nicht gesagt, daß dein "Server" tatsächlich ein Apache ist.
bist du den pd-admin Link gefolgt? :-P
Webserver: Apache 1.3.x mit cgiwrap für die sichere Ausführung von CGI- und PHP-Skriptenbzw. welche Nachteile hatr es, wenn amn die von überall ausführen kann?
Daß man in solche Verlegenheiten geraten kann, wie du sie gerade zu überwinden hast?
wie sieht denn normalerweise so ein Eintrag beim Indianer aus?
ps. es ist mein Server
Was heißt hier "mein", läuft der nur bei dir zuhause auf dem eigenen Rechner, oder ist das ein angemieteter Server bei irgendeinem Provider? Wenn es ein solcher angemieteter Server ist, was sagt dann dein Provider zu deinem Problem?
es steht sowohl ein Testrechner bei mir zu Hause sowohl einer im Internet
dem Provider sollte das doch bei ein RootServer egal sein, oder?
ich kann mich natürlich auch täuschen :)Grüße nach Berlin
Janine-
hallo Janine,
bist du den pd-admin Link gefolgt? :-P
Wahh, kein Anlaß, mir die Zunge rauszustrecken, du Schöne ...
Selbstverständlich hab ich da nachgeschaut. Und sehr erschrocken festgestellt, daß ich mich dort ganz gewiß nie wieder blicken lassen werde. Da gibts eine Demo, die nur vernebelt, statt zu erklären. Es gibt keinerlei Erklärung, aber eine Menge nichtssagender Werbung. Den Probedownload habe ich mir dann gespart.
wie sieht denn normalerweise so ein Eintrag beim Indianer aus?
Gar nicht, es gibt einen solchen Eintrag nicht, da eben "default" nur Scripts ausgeführt werden dürfen, die er kennt. Das hebelt dein dummes pd-admin allerdings auf mir noch unbekannte Weise aus - und ich habe keine Lust, mir von dem Ding meinen gut eingespielten Apache zerschießen zu lassen, bloß um hinterher im log nachlesen zu können, wie das passiert ist. grrrmpf.
dem Provider sollte das doch bei ein RootServer egal sein, oder?
Ein guter Provider bietet dir nicht nur einen Root-Server an, sondern auch noch wenigstens einen minimalen Support dafür.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
hallo Christoph,
bist du den pd-admin Link gefolgt? :-P
Wahh, kein Anlaß, mir die Zunge rauszustrecken, du Schöne ...
ok, ich nimm sie wieder in mein Mund ;-)
Selbstverständlich hab ich da nachgeschaut. Und sehr erschrocken festgestellt, daß ich mich dort ganz gewiß nie wieder blicken lassen werde. Da gibts eine Demo, die nur vernebelt, statt zu erklären. Es gibt keinerlei Erklärung, aber eine Menge nichtssagender Werbung. Den Probedownload habe ich mir dann gespart.
eine Demo, die nur vernebelt?
wie meinst du das?
die Demo, die ich mir von Plesk angeschaut hatte, brachte auch nicht viel mehr Informationen hervor ;)was meinst du mit nichtssagender Werbung?
ich seh da gar keien Werbung.. nein ich hab kein Werbefilter *g*wie sieht denn normalerweise so ein Eintrag beim Indianer aus?
Gar nicht, es gibt einen solchen Eintrag nicht, da eben "default" nur Scripts ausgeführt werden dürfen, die er kennt. Das hebelt dein dummes pd-admin allerdings auf mir noch unbekannte Weise aus - und ich habe keine Lust, mir von dem Ding meinen gut eingespielten Apache zerschießen zu lassen, bloß um hinterher im log nachlesen zu können, wie das passiert ist. grrrmpf.
das dumme pd-admin habe ich mal auf durchzug geschaltet
ps. die Standardumgebung muss man nicht verwenden, mann kann auch seine normale PHP-Apache Installation verwenden, dann muss man in der Config nur sagen, wo der Apache ist etc.
geht also nix kaputt :-)
dem Provider sollte das doch bei ein RootServer egal sein, oder?
Ein guter Provider bietet dir nicht nur einen Root-Server an, sondern auch noch wenigstens einen minimalen Support dafür.
ok, werde da mal morgen nachfragen
wunderschöne Grüße nach Berlin aus Berlin ;-)
Janine-
hi,
Wahh, kein Anlaß, mir die Zunge rauszustrecken, du Schöne ...
ok, ich nimm sie wieder in mein Mund ;-)Halt, halt, nicht so schnell. Oder bitte nochmal Mund auf und "aahh" sagen.
Ja, ok, wie ich schon dachte: da gibts ein paar Aphthen und etwas weißlichen Belag. Hm. Offenbar raucht der Mann, der dich als letzter geküßt hat, heimlich Pfeife.eine Demo, die nur vernebelt?
wie meinst du das?Na, eben genau so:
die Demo, die ich mir von Plesk angeschaut hatte, brachte auch nicht viel mehr Informationen hervor ;)
was meinst du mit nichtssagender Werbung?
ich seh da gar keien Werbung.. nein ich hab kein Werbefilter *g*Was ist eine Aussage "pd-admin ist mit mehr als 5.000 Installationen eine der beliebtesten Komplettlösungen zur webgestützten Verwaltung von Internet Servern" anderes als Werbung? Wobei ein einigermaßen etablierter Anbieter bei grade mal 5000 Installationen noch lange kein Aufhebens davon machen würde. 5000 ist so gut wie gar nichts im Web und berechtigt keineswegs zu der werbenden Aussage, es sei "eine der beliebtesten Komplettlösungen". Mit 5000 Installationen ist das eher eine der unbekanntesten. Confixx ist da schon weit bekannter.
das dumme pd-admin habe ich mal auf durchzug geschaltet
ps. die Standardumgebung muss man nicht verwenden, mann kann auch seine normale PHP-Apache Installation verwenden, dann muss man in der Config nur sagen, wo der Apache ist etc.Oh, das klingt sehr vernünftig.
ok, werde da mal morgen nachfragen
Sehr gut. Und wenn du dir morgen früh die Zähne geputzt und für eine saubere Zunge gesorgt hast, darfst dich auch hier wieder melden. Aber nicht gleich wieder rausstrecken, sowas vertrage ich auf nüchternen Magen überhaupt nicht.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
hallo Christoph
ok, werde da mal morgen nachfragen
Sehr gut. Und wenn du dir morgen früh die Zähne geputzt und für eine saubere Zunge gesorgt hast, darfst dich auch hier wieder melden. Aber nicht gleich wieder rausstrecken, sowas vertrage ich auf nüchternen Magen überhaupt nicht.
nun werden wir aber Gemein :(
keine Grüße nach Berlin
Janine-
hallo Janine,
Und wenn du dir morgen früh die Zähne geputzt [...]
nun werden wir aber Gemein :(Oh. 'tschulligung. Ich nehme alles zurück und behaupte das Gegenteil. Du brauchst dir morgen früh nicht die Zähne zu putzen ...
;-)
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
hallo Christoph,
Und wenn du dir morgen früh die Zähne geputzt [...]
nun werden wir aber Gemein :(Oh. 'tschulligung. Ich nehme alles zurück und behaupte das Gegenteil. Du brauchst dir morgen früh nicht die Zähne zu putzen ...
;-)
jaja... nur die Hälfte zitieren, das haben wir gerne ;-)
Janine
-
-
-
-
-
-
-
-
-
-
-