Suche

soziserver.de

Webhosting von Sozis für Sozis

Sicherere PHP-Einstellungen ab dem 22.7.2010

Veröffentlicht am 19.07.2010 in Wartungskalender

Bislang waren vorrangig aus Komfort- und Kompatibilitätsgründen einige PHP-Einstellungen auf den Servern aktiviert, die in Verbindung mit unsicheren Scripten erfolgreiche Angriffe auf den Webspace ermöglichen können. Da sich diese Angriffe häufen, auf der anderen Seite diese Einstellungen immer seltener wirklich benötigt werden, werden wir Sie am Donnerstag, den 22.7.2010 auf allen Servern per Default deaktivieren.

Betroffen sind folgende Einstellungen:

* register_globals = off
Mit aktiviertem "register_globals" (die Option steht auf "ON") kann auf jeden Variablentyp mit Angabe des Variablennamens ("$variablenname") zugegriffen werden. Dies ist - gerade bei bereits älteren Skripten - oftmals für die Funktionalität des Skripts erforderlich. Andererseits birgt diese Option jedoch einige Sicherheitsrisiken, da böswilligen Angreifern auf diese Weise mehr Ansatzpunkte für einen Angriff gegeben werden. Bei Aktivieren der sicheren Einstellungen wird "register_globals" auf "OFF" gesetzt, d.h. PHP unterscheidet zwischen Variablen, die in einem Skript definiert wurden, Variablen, die in einer Adresse übergeben wurden, Formulareingaben, Variablen aus einem Cookie und Variablen einer Session. Man spricht in diesem Zusammenhang auch von den so genannten "EGPCS-Variablen" ( "$_ENV", "$_GET", "$_POST", "$_COOKIE" und "$_SERVER").

* allow_url_fopen = off
Bei aktiviertem "allow_url_fopen" (die Option steht auf "ON") ist das Einbinden externer Inhalte von anderen Servern möglich, andererseits erleichtert es den Angriff auf Ihre Skripte durch Dritte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.

* allow_url_include = off
Aktivieren Sie allow_url_include (die Option steht auf "ON"), so ist das Einbinden externer PHP-Skripte von anderen Servern möglich. Diese Option erleichtert den Angriff auf Ihre Skripte durch Unbefugte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.

Wenn diese Einstellungen zwingend benötigt werden können Sie über eine eigene php.ini (bzw. den php.ini-Editor, sofern dieser im Tarif enthalten ist) gesetzt werden, die Default-Einstellungen würden damit dann überschrieben.

 
« Neuer Apache für den Soziserver
SPD-Online Mail-Adressen »

Auf Wunsch kostenlos dabei: das WebSoziCMS

  • einfache Erstellung von Webseiten auch für Laien
  • Layoutauswahl aus einer großen Zahl vorhandenen Layouten
  • keine Einschränkungen in der Seitenzahl je Homepage
  • frei definierbare Menüstruktur
  • immer der volle Funktionsumfang, keine "Light"-Versionen
  • keine separat zu erlernenden Markup-Sprachen
  • SSL-Zertifikat bei jeder WebSoziCMS-Homepage dabei (also Aufruf via "https") 
  • für Profis Möglichkeit an vielen Stellen mit einfachem HTML zu arbeiten oder gar das Layout mit CSS grundlegend zu verändern
  • ehrenamtliche Entwicklung von Praktikern mit jahrelanger SPD/Internet-Erfahrung

Einfach das entsprechende Soziserver-Paket "mit WebSoziCMS" bestellen