Kategorien
Alex

Theme Update

Nachdem mein altes Theme nicht mehr so richtig von WP 2.2.x erkannt wurde, habe ich mich auf die Suche begeben und eines gefunden, von dem ich einfach begeistert bin. Der Entwickler nutzt sehr viele Eigenschaften des neuen WP wie die Widgets und das Theme ist total flexibel zu konfigurieren. Man kann z.B. den Sidebar ohne Änderungen am Theme selber nach seinen Wünschen gestalten oder im Header/Body/Footer HTML-Erweiterungen vornehmen, die von dem Theme automatisch mit eingebunden werden. Es ist einfach genial.

Und hier der Link: Mandigo

Kategorien
Alex Internet PHP und Co

Ohne mod_gzip_on ist es sicherer…

…zumindest mit PHP5 bei Strato.

Nachdem ich jetzt schon ewig bei Strato nach einer Antwort auf mein vermeidliches Sicherheitsrisiko gehofft habe, wurde mir von einem wirklich sehr netten Mitarbeiter die Sachlage so erklärt, dass ich mir einen „Workaround“ schaffen konnte.

Und zwar hatte ich festgestellt, dass man bei Verwendung von PHP5 auf dem Strato-Webangebot die in der PHP-Dokumentation beschriebene Schwachstelle (unter dem Punkt: „Zugriff auf beliebige Web-Dokumente auf dem Server“) bei der Nutzung von PHP als CGI ausnutzen konnte. Diese konnte ich bei Verwendung von PHP4 nicht nachstellen.

Nachdem ich also nun das x-te Mal dieses Verhalten gemeldet hatte, war gestern ein Mitarbeiter von Strato auf der anderen Seite des Telefones, der mir wirklich weiter helfen konnte. Und zwar tritt das Problem nur auf, wenn man „mod_gzip_on“ für seine Webseite nutzt. Also wenn man die Seite an den Browser „gezipt“ übertragen lässt. Nachdem ich diesen Parameter wieder deaktiviert hatte und auf PHP5 umstellte, war alles wie gewünscht: kein „Sicherheitsloch“ mehr, kein komischer Seiteneffekt bei der Nutzung von WordPress.

Die detaillierte Erklärung dieses Mitarbeiters half mir auch zu verstehen, wieso Strato sich auf den, von mir als schwerwiegend empfundenen, Fehler noch nicht gerührt hatte. Die Konfiguration wird wohl in einem der späteren Updates angepasst, aber das „Loch“ ist eben doch nicht so groß wie es mir (ohne das jetzt erworbene Hintergrundwissen) schien.

  1. Das .htaccess Passwort kann nur umgangen werden, wenn man schon eine gültige Anmeldung für einen anderen Ordner auf der Webpräsenz hat.
  2. Es wirkt sich nur aus, wenn mod_gzip_on aktiv ist.
  3. Es wirkt sich nur auf den eigenen Webcontent aus, man kann also keine Files des Servers oder anderer User auslesen.
  4. Es gibt einen Workaround: mod_gezip_on No.

Mit dieser Lösung kann ich erstmal leben. Und ich finde es sollte mehr von den Supportern wie Herrn T.H. bei der Hotline geben. Es war der erste wo ich mich auch ernst genommen fühlte bei der gemeldeten Störung zu meinem „Sicherheitsproblem“.