Welche Gefahren bestehen wenn safe_mode auf "off" gestellt ist
Hallo Community,
welche Gefahren können denn überhaupt auftreten wenn der Safe_mode auf Off gestellt wird. Ich habe es jetzt veranlasst, dass auf meinem Webserver der Safe Mode umgestellt wurde.
Aber die haben mich auch darauf hingewiesen, dass wenn Manipulationen auftreten ich dafür verantwortlich bin.
Also wenn das ganze zu riskant ist stelle ich es wieder um.
MfG
Sascha
Geändert von Blueshadow (29.05.2006 um 12:06 Uhr)
je nach grundkonfiguration kann man aus der chroot umgebung ausbrechen und somit auf dateien zugreifen die eigentlich nicht dafür bestimmt waren. ausserdem kann man auf einem system das mehere seiten hostet auf alle seiten zugreifen ob nun priviligiert oder unpriviligiert.
cu tommbutu @joomla 1.0.11
Oha Oha, also bedeutet das, dass alle sich auf dem Server befindlichen Webseiten dadurch gefährdet wären ?
Hmmm also sollte man eigentlich doch lieber warten bis Joomla 1.5 auf den Markt kommt und die ganze Safe_Mode Geschichte passé ist oder ?
Habe ja mein ich zumindest mal gelesen das dieses Problem mit der Version abgeschafft werden soll.
Gruß
Sascha
Ja, in der 1.5 sollte das Problem gelöst sein. Es wird aber noch dauern bis die kommt.Zitat von Blueshadow
Schau doch mal ob das eine Alternative ist:
http://www.joomlaos.de/Downloads/Joo...Installer.html
Ob SafeMode OFF ein größeres Problem ist, liegt am rest der Serverkonfiguration
Da habe ich aber keine Ahnung von
Björn
Problem gelöst? Dann markiere den Thread mit [GELÖST]
Danke Holmi,
ja ich habe es leider versucht mit dem Safe_Mode_Installer, aber bevor ich da große Fehler mache, lass ich des lieber und vertraue soweit auf die Ehrlichkeit der USer und steige spätestens mit erscheinen von Joomla 1.5 um.
Hatte es probiert mit dem Safe_mode_installer aber es kam dort zu Problemen. Deswegen habe ich es gleich wieder gelassen.
Moin Moin !
Das betrifft aber nur die Installation von AddOns, den Medienupload durch den Media-Manager. AddOns, die den Datei-Layer von Joomla benutzen sollten auch keine Probleme bereiten. Alle anderen Galerien, Foren usw. die das gleiche Safemode-Problem haben, werden es dann auch weiterhin haben.
Wenn ich bei einem Hoster wäre, der auf meinem Webspace den Safemode abstellt, dann wäre ich aber schleunigst weg. In ungünstigen Konstellationen können gerade alle Scripte, die dem Webserver gehören und auch in fremden Webspaces rumhängen lesend und womöglich schreibend auf Deinem Webspace ihr Unwesen treiben.
Es hat schon seinen Grund, warum Dein Hoster Safemode eingesetzt hat. Ob das jetzt so toll ist, wenn man Webanwendungen betreiben möchte, sei dahingestellt. Aber das Abstellen ist kein Mehrwert in der Funktionalität, sondern ein fettes Malus in Bezug auf Sicherheit.
CU
Stephan
Hi,
ich hatte gestern meinen Provider gebeten den Safe_mode auf off umzustellen, diese antworteten lediglich darauf das es auf meine eigene Kappe geht und ich dieses eigentlich nicht bräuchte wenn ich ein sauber programmiertes Script verwenden würde, heisst das jetzt das Joomla nicht sauber geschrieben wurde ?
Ich habe nichts gegen Joomla, es ist meiner Meinung nach das geilste CMS-System was ich bisher kostenlos testen und nutzen durfte.
Gruß
Sascha
In dem Fall von "sauber" zu reden, ist ziemlich irreführend. Joomla benutzt nur zur Zeit andere Wege, Dateien/Verzeichnisse zu erstellen bzw. Dateien hochzuladen. Und die vertragen sich nicht mit Safemode, der meiner Meinung auch die völlig falsche Lösung ist, Webspace gegeneinander abzusichern. Aber das steht hier nicht zur Debatte
Joomla hat leider seine Sicherheitslücken (oder warum gab es seit Beginn acht Updates?), aber dafür ist es kostenlos und darf in jeder Richtung genutzt werden. Da spielen Deine Anforderungen eher eine Rolle (günstig und "unsicher" oder teuer und sicher).
CU
Stephan
Du erhöhst DEINE Sicherheit NICHT, wenn Du den Safe_Mode wieder auf ON schalten läßt, weil andere User auf dem Server garantiert ebenfalls safe_mode=off haben.
Die Argumentation des Hosters ("Umschaltung nur auf eigenes Risiko") ist völlig deplaziert. Er müsste nicht DICH, sondern alle ANDEREN Kunden fragen, ob es erlaubt sein soll das einige User auf dem betreffenden Hostingserver mit "mehr Rechten" unterwegs sind, die es (bei der vermutlichen Serverkonfiguration) erlaubt/vereinfacht in deren Accounts zu wühlen.
Wie KaffDaddy schon sagte ist der safe_mode genau genommen die falsche Weg um Sicherheit zu erhöhen, aber leider in sehr vielen Fälle (bei den typischen Standardumgebungen) die einzigen Option, die dann noch etwas Sicherheit bringt.
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Na ja gut dann muss ich mich mal schlau machen ob lediglich nur meine Kunden auf meinem V-Server abgelegt sind oder ob es auch noch andere sind die mit mir nichts zu tun haben.
Falls es nur meine Projekte sind und die meiner Kunden, dann muss ich die Entscheidung für mich selber treffen, sollte aber nur ein Teil vom Server für mich bereit gestellt worden sein, muss ich einen Kompromiss finden. Denn ich würde es ja auch nicht wollen, das fremde in Daten rumwühlen können wo sie nichts zu suchen haben.
Hier noch mal der Auszug aus der Support-Mail, also es war nicht die Rede von unsauberen sondern von unsicheren Anwendugnen
GrußBeachten Sie jedoch, dass unsicher programmierte Anwendungen bei deaktivierter PHP-Direktive \"safe_mode\" ein erhebliches Sicherheitsrisiko darstellen können. Sollten wir Aktivitäten wie Kompromittierungsversuche über Ihr Web feststellen, die sich auf ein unsicheres Script in Ihrem Web stützen, werden wir notfalls die PHP-Direktive \"safe_mode\" ohne vorherige Information wieder aktivieren.
Bedenken Sie bitte, dass Sie alleinverantwortlich für die Deaktivierung dieser Sicherheitsfunktionen sind und für alle daraus resultierenden Probleme, die aufgrund der von Ihnen eingesetzten Software entstehen, die volle Verantwortung tragen.
Sascha
Geändert von Blueshadow (29.05.2006 um 09:36 Uhr)
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen