Tach,

Hm. Zweiter Versuch. Zeigt das hier verständlicher, worin das Sicherheitsproblem bei der Fehlkonfiguration liegt?

Strato hat meiner Meinung nach zumindest so weit recht, dass das Sicherheitsproblem im Weglassen von realpath liegt (also nicht wirklich ein Sicherheitsproblem, weil auf diese weise eh nicht festgestellt werden kann, ob das Script inkludiert wurde oder nicht) und nicht in der Config von Strato.

Zudem muss hier auch die Option "Follow Symlinks" für den Server explizit eingeschaltet worden sein. Offenbar halten das die Programmierer des Webservers Apache nicht für eine so gute Idee, dass diese das als Default setzen.

Aus der Apache-Doku: „The default was changed from All to FollowSymlinks in 2.3.11“.

Zudem kostet die Verwendung von realpath() auch Rechenzeit und ist damit im Programmierer-Jargon "teuer".

Das darf kein Grund für schlechtere Sicherheit sein und wäre ernsthaft eine lächerliche Microoptimierung.

mfg
Woodfighter