Thema: Register_globals bei 1&1

Zitat von roemerli

Hi,

die php.ini musst Du erstellen.

Ein Beispiel von meiner:

Bis denne

Andi

Ach so, na dann wede ich das gleich mal antesten.
Danke.

Edit:
Phantastisch hat 1A funktioniert.

@roemerli

Ich konnte diesem hochspannenden Faden bis jetzt gut folgen und war kurz davor (als geplagter 1 & 1er), das gelobte Skript auszuprobieren, aber:

was ist und wo finde ich die autoprepend.php??

die in Deinem Skript auftaucht??

Herzlichen Dank für die Nachhilfe,

Gruß, Rabendoktor

PS: Fast schon unnötig, aber es sei nochmals erwähnt: das Skript funktioniert (ohne die autoprepend.php-Zeile) auch bei meiner Seite (1&1) völlig problemos!!! Großes Lob und ein dickes DANKE! dafür

Hi,

lasst bitte zunächst einmal die autoprepend-zeile weg.
Siehe auch hier:
http://www.joomlaportal.de/sicherhei...r-globals.html

wenn globals.php entsprechend konfiguriert ist

define( 'RG_EMULATION', 0 );

eine php.ini oder auch php-cgi.ini (kommt auf den Hoster an) mit beispielsweise diesen Einträgen erstellt worden ist:

register_globals = Off
allow_url_fopen = off
safe_mode = off
disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open

Und diese php.ini oder entsprechend php-cgi.ini mit diesem wunderbaren Script http://www.joomlaportal.de/sicherhei...bei-1-1-a.html in alle Verzeichnisse gesetzt worden ist, kann es sein, dass alles geht.
Wenn nicht gibt es noch htaccess-Lösungen in diesem Forum.

Liebe Grüße
Andi

P.S.: Bei php-cgi.ini im Script alle php.ini durch php-cgi.ini mit "Suchen und Ersetzen" auswechseln. Sonst geht es ja nicht.

Bin gerade dabei das Skript auch auf meinem Account zu testen (1&1).
Habe da aber noch zwei Fragen:
1. Beim Scan erscheint "Missing": Soll das bedeuten, daß die php.ini in jedes Verzeichnis & Unterverzeichnis kopiert werden muss?
2. Löst dieses Skript die Probleme mit den einzelnen Komponenten nach der Installation von Joomla 1.0.11? oder wirkt sich dieses Skript zwar auf die Sicherheit im System allgemein aus, aber die Einschränkungen in der Funktionalität einzelner Komponenten bleibt aufrecht?

Grüße aus Tirol

Dieses Skript ist ja in seiner Funktion zunächst ein reines Sicherheitsskript und fügt an erforderlicher Stelle hochelegant php.ini-Dateien ein, die ein hacken der Seite verhindern/erschweren.

Bei mir (1&1) laufen sämtliche Komponenten/Module etc. unter 1.0.11 einwandfrei, das taten sie schon vor dem Durchlaufen des Skriptes und das tun sie jetzt immer noch.

Dieses Script funktioniert bei mir einwandfrei. Vielen Dank.

WebHoster: 1&1

Es ist schon abartig, mit was für Tools und Tricks hier auf die Serverkonfiguration Einfluss genommen wird (ggf. werden muss). Ich kann nur jedem dringend raten, nicht einfach jeden Tip aus Foren bedenkenlos einzusetzen. Rekursiv erzeugte php.ini-Dateien ist bislang "der Renner" in dieser Trickkiste, gleich gefolgt von diesen Joomla-Installern unter wwwrun etc. Kaum jemand weiss doch eigntlich was er da tut...
Hauptsache irgendwer im Forum schreibt, das das "sicherer" ist.

Andererseits ist es völlig unverständlich (schlicht nicht nachvollziehbar), das sich ein Hoster weigert, register_globals auf OFF zu setzen, wo doch quasi 99% alle Exploits für PHP-Scripte genau das ausnutzen und mit register_globals=OFF nicht wirken würden.

Zitat von flotte

Andererseits ist es völlig unverständlich (schlicht nicht nachvollziehbar), das sich ein Hoster weigert, register_globals auf OFF zu setzen, wo doch quasi 99% alle Exploits für PHP-Scripte genau das ausnutzen und mit register_globals=OFF nicht wirken würden.

Einerseits hast du natürlich recht, andererseits verstehe ich, daß sich ein Hoster nicht die Prügel von Kunden einfangen will, die ihre funktionierenden Scripte schon seit Jahren auf dem Server liegen habe und "auf einmal" nach Updates oder Ersatz suchen sollen, weil "irgend so ein Idiot" auf einmal etwas ändern muß, was doch seit Jahren gut funktioniert hat.

Völlig unverständlich wird die Sache allerdings, wenn neue Server genau so eingerichtet und mit "Joomla- und <anderes CMS>-tauglich" beworben oder sogar vorinstalliert werden.