Register Globals

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Register Globals

      Ok liebe Leute , muss doch auch mal meinen Senf dazugeben. Zunächst einmal finde ich es erstaunlich, das sich hier ein oder zwei Mitglieder als Oberschlaue ausgeben,und anderen erklären möchten was sie für einen super Service bieten. Und, natürlich wäre bei ihnen von Hause aus Register_Global auf OFF gesetzt !?

      Nun dazu kann ich mal folgendes sagen. Es nutzt garnichts ! die Register Global in der php.ini auf Off zu setzten, wenn in der _htaccess der Wert Register_Global auf ON gesetzt ist. ?? Soviel zum Thema. Sicherheit.
      Wer einen Plesk Server betreibt ,sollte die Firewall auch nutzen, genauso wie den Spamassasin. Wichtig dabei ist die richtigen Werte einzutragen. NICHT die Standart werte benutzen. Hier ein Beispiel wie es richtig wäre; mit den E-Mail Einstellungen.

      Relaying Geschlossen
      Autorisierung nötig:
      POP3 Sperrzeit 3 Min
      SMTP
      Überprüfe Passwörter für Mailboxen im Wörterbuch

      Antivirus-EinstellungenVerwendeter Antivirenfilter Keiner

      SPF-Spamschutz aktivierenSPF-Überprüfungsmodus Nur Received-SPF-Header erstellen, niemals blockieren Temporäre Fehlerbenachrichtigungen verwenden, wenn Sie Probleme bei der DNS-Suche haben E-Mails abweisen, wenn SPF "fail" auflöst E-Mails abweisen, wenn SPF "softfail" auflöst E-Mails abweisen, wenn SPF "neutral" auflöst E-Mails abweisen, wenn SPF nicht "pass" auflöst
      Lokale SPF-Regeln
      SPF-Schätzung
      SPF-Erklärungstext

      Unterstützung für Trend Micro RBL+-Dienst aktivierenDNS-Zonen für den RBL+-Service
      WICHTIG ist dieser Eintrag.
      zen.spamhaus.org;dnsbl.ahbl.org;dnsbl.njabl.org

      Und hier noch ein Beispiel wie die Firewall arbeiten sollte- Auszug aus meinen Rules:

      Firewall-RegelMarkierte entfernenMarkierte entfernen Suche anzeigenSuche anzeigenSuche verbergenSuche verbergen

      SuchenSuchenAlle zeigenAlle zeigen

      19 Firewall-Regel gesamt Anzahl der Einträge pro Seite: 10 25 100 ALLE

      Name Beschreibung Reihenfolge
      Achtung Spammer Eingang von 59.162.80.51, 62.43.205.67, 66.159.221.203, 68.119.172.70, 77.238.238.17, 77.243.99.203, 82.131.227.72, 83.17.26.90, 85.24.202.176, 87.106.27.219, 87.224.212.89, 88.80.197.39, 89.123.90.119, 89.134.21.23, 89.228.132.83, 92.113.209.225, 122.17.75.164, 122.100.141.148, 123.225.255.53, 193.251.81.24, 194.193.14.170, 195.140.186.31, 195.140.186.32, 195.140.186.37, 195.140.186.40, 195.140.186.41, 195.140.186.44, 195.140.186.45, 195.140.186.49, 195.140.186.53, 195.140.186.55, 195.140.186.58, 195.140.186.62, 195.140.186.63, 200.14.206.12, 200.181.121.26, 201.28.219.222, 201.38.214.18, 201.147.111.99, 201.230.98.131, 202.120.2.180, 209.167.231.227, 209.184.108.7, 212.150.167.61, 212.181.158.78, 213.158.9.91, 213.168.44.107, 216.197.204.76, 217.7.233.155, 217.160.19.137, 220.130.2.247, 220.232.214.36, 222.183.149.28 an Port 25/tcp verbieten

      Ihr solltet die Rules pflegen, dann klappts auch NICHT mit dem bösen Nachbarn(Spammer). Der Port 25 sollte geschützt werden.

      Achja , KEINESFALLS die htaccess Dateien aus Dolphin entfernen !! Wurde oft hier im Forum gesagt, und Anfangs hatte ich auch so meine Bedenken, aber, das nutzt nur den Angreifern, euer Dolphin hat keinerlei Beschwerden wenn ihr sie drinlasst.

      Zum Hackerangrif !!! Leute, mit einer PHP Version unter 5.01 sollte bekannt sein das Tür und Tor offen stehen, da nutzt auch eine komplizierte Administration nix.Also Updaten auf die Neueste Version.

    • RE: Register Globals

      Original von ntmaster
      Ok liebe Leute , muss doch auch mal meinen Senf dazugeben. Zunächst einmal finde ich es erstaunlich, das sich hier ein oder zwei Mitglieder als Oberschlaue ausgeben,und anderen erklären möchten was sie für einen super Service bieten. Und, natürlich wäre bei ihnen von Hause aus Register_Global auf OFF gesetzt !?

      Nun dazu kann ich mal folgendes sagen. Es nutzt garnichts ! die Register Global in der php.ini auf Off zu setzten, wenn in der _htaccess der Wert Register_Global auf ON gesetzt ist. ?? Soviel zum Thema. Sicherheit.

      Achja , KEINESFALLS die htaccess Dateien aus Dolphin entfernen !! Wurde oft hier im Forum gesagt, und Anfangs hatte ich auch so meine Bedenken, aber, das nutzt nur den Angreifern, euer Dolphin hat keinerlei Beschwerden wenn ihr sie drinlasst.


      hmm, bei vielen ist einfach standarmäßig register globals auf off, wieso soll man das nicht bahauptet können!?
      wieso sollten menschen die gelernte programmierer sind und seit ewigen jahren ihr geld mit webhosting/programmieren verdienen sich nicht als "oberschlaue" ausgeben dürfen?

      register_global ist auch in der .htaccess von dolphin auf off.

      wieso sollte man die .htaccess von dolphin nicht löschen?
      bei vielen sind die servervorrausetzungen halt eben so das mit der .htaccess dolphin nicht läuft. sprich z.b. die permalinks nicht laufen!

      und meine frage an dich!
      wer bist du? was machst du beruflich?

    • RE: Register Globals

      Antworte ich Dir doch gern. Deine Frage:
      wieso sollten menschen die gelernte programmierer sind und seit ewigen jahren ihr geld mit webhosting/programmieren verdienen sich nicht als "oberschlaue" ausgeben dürfen?
      Meine Antwort:
      wer sich sein Geld mit programmieren verdient, seit vielen Jahren wie Du sagst, vor dem habe ich zunächst mal Achtung, Aber, und das ist entscheident, ich mag es garnicht wenn wieder besseren Wissen, behauptet wird, man habe selbst immer von Hause aus Register_Globals auf OFF, wenn dem nicht so ist. Wenn, wie Du sagts, bei Dolphin die htaccess den Wert Standartmässig auf OFF hat, frage ich mich , wie es denn sein kann, das der Wert auf ON gesetzt war. ?? Ich denke ,denjenigen den es bertrifft, und er dieses Forum nutzt, wird wissen von wem ich rede.

      Zu Deiner zweiten Frage, Wer bin ich und was mache ich. ?
      Ich arbeite als IT-Sicherheits Chef und bin von Beruf Diplominformatiker,mit mittlerweile 30 Jahren Erfahrung.

    • mann soll sich ja hier reinhängen ! dafür ist ein Forum. Nun zu Deiner Frage, Du findenst den Eintrag in der .htaccess auf deinem server ,,,entwerder /srv/www/vhosts/deine.domain.de/httpdocs/ oder /srv/www/vhosts/deine.domain.de/htdocs/ --jenach dem wie dein server konfiguriert ist.. zusätzlich in deiner php.ini hier /etc/php5 oder ähnlich.

    • Original von escobar
      Hallo zusammen,
      sorry wenn ich mich da reinhänge....aber...kann mir bitte mal jetzt jemand erklären wo man nachsehen kann wo bei dolphin die register auf on gestellt sind??
      Gruß
      escobar


      anhand einer info php kan man die servereinstellungen sehen und auch einige pfade.

      dolph-in-forum.de/wiki/2008/04…ereinstellungen-zu-sehen/

    • bei boonex gebits dazu auch einen Blog...sind anscheinend mehr Seiten gewesen.
      Einige haben jetzt in ihre htaccess folgenden eintrag hinzugefügt
      php_flag register_globals 0
      <IfModule mod_rewrite.c></ifModule>

      RewriteCond %{QUERY_STRING} ^http [OR]
      RewriteCond %{QUERY_STRING} ^.+www\. [OR]
      RewriteCond %{QUERY_STRING} ^.+https [OR]
      RewriteCond %{QUERY_STRING} ^.+ftp
      RewriteRule .* - [L,F]
      RewriteCond %{HTTP_USER_AGENT} ^libwww [OR]
      RewriteCond %{HTTP_USER_AGENT} ^Wget
      RewriteRule .* - [F]

      RewriteCond %{QUERY_STRING} (.*)=http(.*) [NC,OR]
      RewriteCond %{QUERY_STRING} (.*)urlx=(.*) [NC]
      RewriteRule ^(.*) - [F]

      meine Frage...bringt das was....???
      Gruß
      escobar

    • RE: Register Globals

      Original von ntmaster
      Antworte ich Dir doch gern. Deine Frage:
      wieso sollten menschen die gelernte programmierer sind und seit ewigen jahren ihr geld mit webhosting/programmieren verdienen sich nicht als "oberschlaue" ausgeben dürfen?
      Meine Antwort:
      wer sich sein Geld mit programmieren verdient, seit vielen Jahren wie Du sagst, vor dem habe ich zunächst mal Achtung, Aber, und das ist entscheident, ich mag es garnicht wenn wieder besseren Wissen, behauptet wird, man habe selbst immer von Hause aus Register_Globals auf OFF, wenn dem nicht so ist. Wenn, wie Du sagts, bei Dolphin die htaccess den Wert Standartmässig auf OFF hat, frage ich mich , wie es denn sein kann, das der Wert auf ON gesetzt war. ?? Ich denke ,denjenigen den es bertrifft, und er dieses Forum nutzt, wird wissen von wem ich rede.

      Zu Deiner zweiten Frage, Wer bin ich und was mache ich. ?
      Ich arbeite als IT-Sicherheits Chef und bin von Beruf Diplominformatiker,mit mittlerweile 30 Jahren Erfahrung.


      wenn ich mal den Senf dazu geben darf, jeder installation von Dolphin setzen wir Register_Globals auf OFF. Grundlegen dazu gesagt, sicherlich gibt es auch einige Scripte die damit nicht laufen, dann sollte ich mir aber als USER genau überlegen ob ich dieses Script auf meinem Server lade. Zu der .htaccess sollte jeder user wissen das er diese seiner UMGEBUNG anpassen muss. Wenn ich Dolphin auf dem Server schiebe MUSS ich mein System kennen, mich mit dem ganzen drumrum Vertraut machen. Wissen welche Maschiene ich mir Miete, welches OS drauf ist und wie es Konfiguriert wird. Wenn ich dass nicht weiss, mache ich mich Schlau !!! Oder kaufst Du Dir ein Auto wo Du noch nichtmal weist welche Marke, was für nen Motor, welchen Sprittverbrauch es hat ???
      Glaubst Du wir als Hoster haben für jeden Kunden ein Script von Dolphin ? Nein ich habe eines als Template auf dem Server, mit angepasten Einstellungen wie z.Bsp. die .htaccess die ebenfals von uns angepast wurde. Genauso wie die OS-Templates.
      Weiterhin betreibe ich keine Community wenn ich weiss mein Server ist nicht sicher bzw. ich kann Ihn nicht entsprechend Konfigurieren das er sicher ist. Denn ich als Betreiber dieser Seite habe eine Verantwortung meine User gegenüber. Ich denke einfach viele sind sich dieser Verantwortung nicht bewust und schieben diese gerne auf dem Provoider. Der übergibt dir aber nur das System - Warten musst du es selber.
      File Download - File Upload
      Kostenlos File-Host bei http://file-click.com