Page-Restrictor: Fragen

Beitrag von **AnjaK** » 21.12.2006, 12:19

Da ich leider "drüben" keinen Zugang bekommen (irgendwas klappt da mit meiner Firewall nicht so ganz *grübel*) stell ich dir Frage hier weil sie hier ebenso gelesen wird, denk ich mal.

Was mir vor allem aufgefallen ist (ich habs noch nicht eingebaut), ist dass die Datei per 777 einen völlig offenen Zugang hat. Damit habe ich aber Tür und Tor geöffenet, damit mir lustige Menschen jede Menge Code unterjubeln können, der dann lustig auf meinem Server ausgeführt wird. Zudem kann ein Witzbold einfach die IP von Google einspeißen und damit die Seite flux abschießen.

Oder hab ich da am 777er etwas falsch interpretiert? Ich habs nicht so mit Servergeschichten, aber Vollrechte klingen für mich auch nach Vollzugang

Da die Datei auch immer gleich heißt, kann ein Bösewicht mal schnell einen Rundgang machen und jede Menge Pages über dieses Tool abschießen.

Oder seh ich mal wieder zu schwarz? *fragend guck*

von **Anzeige von ABAKUS** »

Beitrag von **Michael1967** » 21.12.2006, 12:29

Dann stell doch auf 644

Beitrag von **Airport1** » 21.12.2006, 12:51

> Was mir vor allem aufgefallen ist (ich habs noch nicht eingebaut), ist dass die Datei per 777 einen völlig offenen Zugang hat.

Es gibt keine alternative Loesung, bzw. es wurde nie eine vorgeschlagen. Es mag zwar Server geben die auch bei 644 etc. ein Auto Update ermoeglichen, aber es ist leider nicht bei allen Servern der Fall (eigene Erfahrung). Ohne Auto-Update aber, ist es wie bei Virenscannern: dann sind die Daten ziemlich schnell veraltet.

> Damit habe ich aber Tür und Tor geöffenet, damit mir lustige Menschen jede Menge Code unterjubeln können, der dann lustig auf meinem Server ausgeführt wird.

Der Plural ist nicht korrekt. Es muss Singular sein. Ich hab den Code unter meinen Fittichen. Wenn man mir nicht vertraut, dann sollte man eben die Finger davon lassen. Allerdings wuerde ich mir dann selber ins Bein schiessen, denn urspruenglich hab ich das ja fuer meine Domains gebaut. Ich finde es nur nach wie vor affig, dass viele weiterhin nur vor sich hin "sammeln & sperren" und kein Austausch stattfindet.

> Zudem kann ein Witzbold einfach die IP von Google einspeißen und damit die Seite flux abschießen.

Nein. Es gibt extra die 3 Abarbeitungsschritte:
1. Verdaechtiges melden ueber EIngabeformular
2. Kontrolle (immer noch nicht aktiviert)
3. Nach Diskussion/Absprache sperren oder eben nicht
(das koennen derzeit nur 3-4 Personen, die genug Ahnung haben, dass sie ganz sicher nicht den GoogleBot rauswerfen, hoechstens gefakte).

von **Anzeige von ABAKUS** »

Beitrag von **Anonymous** » 21.12.2006, 12:57

Wer lieber händisch updated hat sicherlich auch diese Möglichkeit. Teilweise sind die Sicherheitseinstellungen der Server ja auch so, dass Autoupdates nicht funktionieren. In dem Fall spricht wohl nichts gegen 644.

Beitrag von **AnjaK** » 21.12.2006, 12:58

Das hat nix damit zu tun, dass ich dir nicht vertraue Airport, es geht darum, dass mit 777 JEDER Zugriff auf die Datei hat, nicht nur du.

Der Austausch ist sicher wichtig, keine Frage, aber das Risiko ist damit doch wirklich extrem hoch. Oder hast du einen Schutz in diesem Script, was verhindert, dass man in das Script etwas reinschreiben kann trotz Vollzugang für jeden?

Versteh mich bitte nicht falsch, ich will das hier nicht anprangern ich wollte es selber einbauen bei mir doch bei 777 klingelt bei mir so ziemlich jede Glocke im Dom.

Beitrag von **Airport1** » 21.12.2006, 13:03

777 wird meist ueberschaetzt. Nach meinem Kenntnisstand kann man das von AUSSEN nicht ueberschreiben (habe es z.B. mit PUT selbst mal versucht). Man muesste dazu schon einen echten Zugang zum Webserver haben, oder ein Mitbenutzer auf dem Webserver sein.

Die meisten 777-Ueberschreibungen geschehen m.E. nicht von aussen, sondern dadurch dass jemand Zugang (z.B. per ssh) zum Server hat. Ist man dort drin, kann man m.E. in der Tat die 777-Datei ueberschreiben. Aber nicht von aussen!

Alternative Loesungen sind natuerlich willkommen! Aber ich glaube es gibt keine, die dann nicht so kompliziert oder aufwaendig ist, dass auch die "kleinen HP-Bastler" sie dann verstehen. MySQL kann man z.B. nicht bei den Benutzern einfach voraussetzen, viele haben keine Datenbank in ihrem Paket.

Beitrag von **AnjaK** » 21.12.2006, 13:16

Wie wäre es denn, wenn du ein Zusatzscript mit reinpackst, dass du im Updatefall aufrufst, z.B. eine update.php, welche dann auf dem Server des Users ausgeführt wird, per chmod die page.res.php auf 777 stellt, updatet und dann zurück auf 644 stellt. Damit wäre diese Tür zu. Der User könnte damit das Update auch selber duchführen, wann immer er mag, in dem er einfach die update.php aufruft.

<< Nach meinem Kenntnisstand kann man das von AUSSEN nicht ueberschreiben
Natürlich kann man das, du machst es doch auch, wie sollte sonst das update auf den Server kommen

Eine andere Alternative wäre, dass man das page.res.php direkt von deiner Seite includiert, sodass es nur auf deinem Server liegt. Würde zwar nicht unbedenklichen Traffic für dich bedeuten, aber es wäre sicher.

Beitrag von **Airport1** » 21.12.2006, 13:19

> welche dann auf dem Server des Users ausgeführt wird, per chmod die page.res.php auf 777 stellt

nehme an, dass dies auf vielen webservern nicht hinhaut/funktionieren wird, wir haben ja jedesmal eine ganz andere konfiguration. daher kann man meist nur den kleinsten gemeinsamen nenner voraussetzen.
Werds aber drueben mal vorschlagen ,)

<< Nach meinem Kenntnisstand kann man das von AUSSEN nicht ueberschreiben

> Natürlich kann man das, du machst es doch auch, wie sollte sonst das
update auf den Server kommen

Das Script selber ueberschreibt sich selber. Das Script hat die Macht dazu. Aber niemand von aussen!

> Eine andere Alternative wäre, dass man das page.res.php direkt von deiner Seite includiert, sodass es nur auf deinem Server liegt. Würde zwar nicht unbedenklichen Traffic für dich bedeuten, aber es wäre sicher.

Eben. Das Ganze ist kostenlos (aber nicht umsonst). Es kann nicht sein dass ich neben der ganzen investierten (MEINER) Zeit auch noch 100-200 Euro im Monat fuer einen Server(Verbund) ausgeben muss.

Beitrag von **Airport1** » 21.12.2006, 13:25

> dass man das page.res.php direkt von deiner Seite includiert,

Noch ein ganz wichtiger Punkt der GEGEN ein Herunterladen/Einbinden von einem fremden Server DEUTLICHst spricht: zusaetzliche Netzwerklatenz - die teilnehmenden User wuerden deutlich merken dass ihre Seiten sich langsamer aufbauen.

Wir moechten ja dass das Ganze moeglichst schnell durchgejagt wird, und sind eher dabei den PRES noch zu optimieren

Beitrag von **AnjaK** » 21.12.2006, 13:25

Da fällt mir noch eine bessere Variante ein:

Das Script läuft auf dem Server des Useres und zieht sich beim Aufruf einfach die "Bösewichtdaten" von deinem Server. Das wäre ja eine sehr kleine Datei und würde auch nicht viel Traffic generieren und auch nicht zu lange dauern in der Ausführung.

Wäre meiner Meinung nach die "sauberste" Lösung und man braucht keinen Zugriff auf das Script zu gewähren.

Beitrag von **Airport1** » 21.12.2006, 13:27

Die Boesewichtdaten muessten aber wieder (mangels da man kein mysql voraussetzen kann) wieder in eine Datei geschrieben werden. Diese muesste wieder 777 haben (mangels verschiedener Server-Configs). Man haette dadurch also nicht viel gewonnen, ausser dass die Laufzeit des Scripts sich verschlechtert: denn man muesste ja im Script jedesmal die Boesewicht Daten "extra reinladen".

Beitrag von **AnjaK** » 21.12.2006, 13:30

<< Das Script selber ueberschreibt sich selber. Das Script hat die Macht dazu. Aber niemand von aussen!

Dann versteh ich nicht, warum es 777 braucht um sich selber zu überschreiben?
*verwirrt guck*

<< Eben. Das Ganze ist kostenlos (aber nicht umsonst). Es kann nicht sein dass ich neben der ganzen investierten (MEINER) Zeit auch noch 100-200 Euro im Monat fuer einen Server(Verbund) ausgeben muss.

Naja, mal ehrlich, erstens kostet ein Server keine 200 Euro im Monat und zweitens sollte es dir doch gelingen einige hundert Euro über Werbung aus der Seite zu ziehen

Ich weiß, gemeckert hat jeder schnell und niemand ist jemals zufrieden. ich finde das Script auch sehr gut und Hut ab vor der Arbeit, aber du darfst auch nicht vergessen, dass der User trotz allen Umständen dennoch Angst um ihre Projekte haben wird/kann wenn die Türe so weit offen steht

Beitrag von **AnjaK** » 21.12.2006, 13:31

Airport1 hat geschrieben:Die Boesewichtdaten muessten aber wieder (mangels da man kein mysql voraussetzen kann) wieder in eine Datei geschrieben werden. Diese muesste wieder 777 haben (mangels verschiedener Server-Configs). Man haette dadurch also nicht viel gewonnen, ausser dass die Laufzeit des Scripts sich verschlechtert: denn man muesste ja im Script jedesmal die Boesewicht Daten "extra reinladen".

Da diese Textdatei aber auf deinem eigenen Server liegt, wäre das nicht das Problem, da du auf deinem eigenen Server ein Zwischenscript platzieren kannst, dass per chmod den Zugang öffent und danach gleich wieder schließt.

Beitrag von **Michael1967** » 21.12.2006, 13:32

Beste Lösung wäre hier wohl - die Dateien und zusätzlich Updates als Datei anzubieten

Dann könnte jeder selbst seine Dateien aktuallisieren.

Beitrag von **Airport1** » 21.12.2006, 13:33

Das mit dem "vom Server includieren" kann man m.E. fuer diesen Anwendungsfall absolut knicken, da wie gesagt dann nicht nur der Server sehr belastet waere, sondern eine Menge unnoetiger Netzwerklatenzen bei den Nutzern entstehen wuerden.

Ueber Werbung/Adsense kommt derzeit nichts rein (ab und zu mal 3 Cent am Tag oder so), wahrscheinlich sind die User zu gebildet um zu klicken

> Dann versteh ich nicht, warum es 777 braucht um sich selber zu überchreiben?

Wir haben voellig verschiedene Server Configs. Der eine mag nicht bei 644, der andere jenes nicht. Es ist wieder mal der kleinste gemeinsame Nenner, damit es bei allen Nutzern funktioniert. Ich wollte urspruenglich auch nicht die 777.