Kategorien
Alex Internet PHP und Co

Ohne mod_gzip_on ist es sicherer…

…zumindest mit PHP5 bei Strato.

Nachdem ich jetzt schon ewig bei Strato nach einer Antwort auf mein vermeidliches Sicherheitsrisiko gehofft habe, wurde mir von einem wirklich sehr netten Mitarbeiter die Sachlage so erklärt, dass ich mir einen „Workaround“ schaffen konnte.

Und zwar hatte ich festgestellt, dass man bei Verwendung von PHP5 auf dem Strato-Webangebot die in der PHP-Dokumentation beschriebene Schwachstelle (unter dem Punkt: „Zugriff auf beliebige Web-Dokumente auf dem Server“) bei der Nutzung von PHP als CGI ausnutzen konnte. Diese konnte ich bei Verwendung von PHP4 nicht nachstellen.

Nachdem ich also nun das x-te Mal dieses Verhalten gemeldet hatte, war gestern ein Mitarbeiter von Strato auf der anderen Seite des Telefones, der mir wirklich weiter helfen konnte. Und zwar tritt das Problem nur auf, wenn man „mod_gzip_on“ für seine Webseite nutzt. Also wenn man die Seite an den Browser „gezipt“ übertragen lässt. Nachdem ich diesen Parameter wieder deaktiviert hatte und auf PHP5 umstellte, war alles wie gewünscht: kein „Sicherheitsloch“ mehr, kein komischer Seiteneffekt bei der Nutzung von WordPress.

Die detaillierte Erklärung dieses Mitarbeiters half mir auch zu verstehen, wieso Strato sich auf den, von mir als schwerwiegend empfundenen, Fehler noch nicht gerührt hatte. Die Konfiguration wird wohl in einem der späteren Updates angepasst, aber das „Loch“ ist eben doch nicht so groß wie es mir (ohne das jetzt erworbene Hintergrundwissen) schien.

  1. Das .htaccess Passwort kann nur umgangen werden, wenn man schon eine gültige Anmeldung für einen anderen Ordner auf der Webpräsenz hat.
  2. Es wirkt sich nur aus, wenn mod_gzip_on aktiv ist.
  3. Es wirkt sich nur auf den eigenen Webcontent aus, man kann also keine Files des Servers oder anderer User auslesen.
  4. Es gibt einen Workaround: mod_gezip_on No.

Mit dieser Lösung kann ich erstmal leben. Und ich finde es sollte mehr von den Supportern wie Herrn T.H. bei der Hotline geben. Es war der erste wo ich mich auch ernst genommen fühlte bei der gemeldeten Störung zu meinem „Sicherheitsproblem“.

Kategorien
PHP und Co

Month of PHP Bugs gestartet

Auf http://www.php-security.org/ wurde Anfang März das Month of PHP Bugs-Projekt gestartet. Hoffen wir das sie nicht zu viele Fehler finden ;-)