Thema: Versionsnummer erkennen

Klasse! hat sich so grad eine sicherheitslücke aufgetan? ;-)

bei der Installation der Joomlaversion 1.5.15 wurde in die htaccess nachstehender Code mit aufgenommen

Code:

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>

dies führte, wie man hier im Forum ja auch lesen konnte, zu anfänglichen Installationsproblemen.
Ein Zugriff, bzw. Ausführung sollte dann doch nicht mehr möglich sein.

Oder irre ich mich da?

Den Eintrag in der htacces gibt es, allerdings ist er erstmal auskommentiert.
Aus gutem Grund, denn damit würde man z.B. auch eine Sitemap-XML, die viele bei Google angemeldet haben, blockieren.

Als Sicherheitslücke würe ich es nicht unbedingt bezeichnen. Welcher Hacker sieht schon manuell auf einer Site nach, welche Version installiert ist? Da laufen doch Bots drüber, die einfach bei Millionen von Seiten ausprobieren, ob ein bekannter Hack funktioniert.

Man könnte natürlich eine .htaccess in den Unterordner languages legen. Damit hat man das sitemap.xml Problem behoben. Ist halt was, was man dem Otto-Normalbenutzer nicht unbedingt zumuten will.

Zitat von Dr. Eddison

Man könnte natürlich eine .htaccess in den Unterordner languages legen. Damit hat man das sitemap.xml Problem behoben.

Hab das gemacht, .htaccess lediglich mit dem Abschnitt zum Blocken der XML-Anzeige in language-Ordner kopiert. Funktioniert.

Zitat von Dr. Eddison

Man könnte natürlich eine .htaccess in den Unterordner languages legen

Ok

mit folgendem Code kannst du aber auch explizit nur ganz bestimmte xml freigeben

Code:

# Eine XML-Datei erlauben
<FilesMatch (XML-Name1.xml|XML-Name2.xml usw.)>
Allow from all
</FilesMatch>

Bin grad hier drüber gestolpert. Das blocken über die .htaccess geht wunderbar, nur muss man es in beiden /language/ (Root und /administrator/) files deponieren, sonst bringts nicht viel.

Eigentlich sollte man den administrator-Ordner per htaccess mit Passwort schützen. Dann ist natürlich auch der language-Ordner für Unbefugte nicht zugänglich.

Zitat von Dr. Eddison

Eine von mir erstellte Seite wurde von jemanden überprüft und dabei unter Anderem im Prüfprotokoll die Versionsnummer von Joomla angegeben. Nun ist es mir unerklärlich, wie derjenige die Versionsnummer herausgefunden hat.

also habe mir den ganzen thread durchgelesen ... und muss nur grinsen ... wer weiß, was da "jemand" überhaupt geprüft und in welchen "Prüfprotokollen" da irgendwas gefunden wurde ... die ganze Diskussion ist imho völlig für die Katz

Ich sehe das nicht ganz so. Sicher, zum Teil betrifft es nur meinen Fall und die "Prüfung" (wenn es denn eine gescheite war), aber gerade durch sollche scheinbar "unwichtigen" Sachen, stößt man immer wieder auf neue Ideen und Ansätze. So hat doch der Thread am Ende doch etwas positives gehabt. Ich weiß nun, wie ich an die Versionsnummern komme und alle anderen werden nun ihre Language-Ordner per .htaccess schützen. Oder haben wenigstens eine Möglichkeit gezeigt bekommen, wie es geht, Dateien auf diesem Wege der Öffentlichkeit vorzuenthalten. Und naturgemäß hat jeder andere Schwellwerte für "wichtig" und "für die Katz" (Frag mal menschliche Lebewesen mit zwei X-Chromosomen nach der Wichtigkeit eines geilaussehenden unpraktischen Autos)