iFrame Attacke - Woran liegts? (Seite 2)

Hallo Matthes, welches Login Script meinst Du denn?

Bleiben da noch ein paar Frage offen.
Berücksichtigt .htaccess auch den Zugriff via FTP?

Was passiert, wenn .php von "innen" heraus anfängt im Verzeichnis zu schreiben?
Würde das von der .htaccess auch unterbunden werden können?

Eher wohl nicht. Der ganze Rechtespaß hat mehrere Ebenen. .htaccess ist nur der letzte Anker für http.
Wenn nicht vorher ein der Apache sicher läuft, php abgesichert ist usw.
Kann man mit der .htaccess nur Keks backen.

Der lockere Umgang mit Rechten fängt bereits bei Windows Nutzern beim Hochfahren an.

90% (vermute ich mal) Haben Windows als Administrator laufen.

Es ging um die Absicherung beim Zugriff auf das typo3-Backend, über ssl laufen usw.
Darauf bezog ich mich. Dass das in den Verteidigungslinien sehr weit hinten steht, ist aber richtig.

Und ja... Ich bin auch als Administrator angemeldet... *hüstel*

Eine Ergänzung habe ich da noch (Typo3-only).
Ich hatte geschrieben, dass Dateiberechtigungen mindestens 755 sein sollen.
Das funktioniert so nicht immer.
Der besser Weg:
chmod -R 755 <meine_typo3_installation>
cd <meine_typo3_installation>
find . -type f -print0 | xargs -0 chmod 644
chmod 757 typo3conf typo3conf/l10n typo3conf/ext uploads uploads/pics uploads/media uploads/tf fileadmin/_temp_
chmod -R 757 typo3temp

Ach ja und Dank an Roman. Zum Thema PHP habe ich folgendes Security-Bulletin gefunden:

typo3blogger.de/security-bulletin-typo3-sa-2010-008-release-4-3-3/