gambler
Themenersteller
Student
Guru (101 Beiträge)

iFrame Attacke - Woran liegts? (Seite 2)


romacron
JDev Xer
Content Gott (1224 Beiträge)
am 10.06.2010, 12:54 Uhr schrieb romacron

Hallo Matthes, welches Login Script meinst Du denn?

Bleiben da noch ein paar Frage offen.
Berücksichtigt .htaccess auch den Zugriff via FTP?

Was passiert, wenn .php von "innen" heraus anfängt im Verzeichnis zu schreiben?
Würde das von der .htaccess auch unterbunden werden können?

Eher wohl nicht. Der ganze Rechtespaß hat mehrere Ebenen. .htaccess ist nur der letzte Anker für http.
Wenn nicht vorher ein der Apache sicher läuft, php abgesichert ist usw.
Kann man mit der .htaccess nur Keks backen.

Der lockere Umgang mit Rechten fängt bereits bei Windows Nutzern beim Hochfahren an.

90% (vermute ich mal) Haben Windows als Administrator laufen.


matthes
Avatar matthes
Foren Moderator
Evil Genius
Content Halbgott (973 Beiträge)
am 10.06.2010, 13:01 Uhr schrieb matthes

Es ging um die Absicherung beim Zugriff auf das typo3-Backend, über ssl laufen usw.
Darauf bezog ich mich. Dass das in den Verteidigungslinien sehr weit hinten steht, ist aber richtig.

Und ja... Ich bin auch als Administrator angemeldet... *hüstel*


Make Seitenreport great again!

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 11.06.2010, 22:09 Uhr schrieb lwulfe

Eine Ergänzung habe ich da noch (Typo3-only).
Ich hatte geschrieben, dass Dateiberechtigungen mindestens 755 sein sollen.
Das funktioniert so nicht immer.
Der besser Weg:
chmod -R 755 <meine_typo3_installation>
cd <meine_typo3_installation>
find . -type f -print0 | xargs -0 chmod 644
chmod 757 typo3conf typo3conf/l10n typo3conf/ext uploads uploads/pics uploads/media uploads/tf fileadmin/_temp_
chmod -R 757 typo3temp

Ach ja und Dank an Roman. Zum Thema PHP habe ich folgendes Security-Bulletin gefunden:

typo3blogger.de/security-bulletin-typo3-sa-2010-008-release-4-3-3/





« zurück zu: Sonstige

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.