XAMPP-Sicherheit

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

XAMPP-Sicherheit

Postby guido33 » 16. September 2005 21:44

1. Um den XAMPP-Verzeichnisschutz zu aktivieren, unter http://localhost/security/xamppsecurity.php , gebe ich ein Passwort ein (wie im neuen Anwenderhandbuch "XAMPP Kompakt" beschrieben) und werde mit Ausschluss belohnt:
Authentisierung fehlgeschlagen!
Der Server konnte nicht verifizieren, ob Sie autorisiert sind, auf den URL "/security/security.php" zuzugreifen. Entweder wurden falsche Referenzen (z.B. ein falsches Passwort) angegeben oder ihr Browser versteht nicht, wie die geforderten Referenzen zu übermitteln sind.
Es scheint, dass da noch etwas geändert werden muss?

2. PHP-Sicherheit - Safe Mode: Für die Konfiguration des Safe-Mode stehen folgende Direktiven in der PHP-Konfigurationsdatei zur Verfügung ...
nur - welche Datei ist denn die PHP-Konfigurationsdatei?

3. Weiter steht in diesem Buch: "Entscheiden Sie sich für die HTTP- bzw. Cookie-basierte Authentifizierung"
Nur - wird man nicht aufgeklärt was das Eine noch das Andere bedeutet?

Für Aufklärung danke ich im voraus.
guido33
 
Posts: 4
Joined: 16. September 2005 20:56

Postby deepsurfer » 17. September 2005 01:26

zu 1)
die weiteren Antworten erklären das Verhalten von Frage eins.
grundsätzlich geht aber darum das die Authentifizierung derzeit über ein cookie läuft, eben dieses cookie ist bei dir vorhanden.
Nach der Änderung des Passwortes fragt XAMPP dieses Cookie ab, da bei dir eins existiert aber mit falschen Passowrt (weil ja vorher leer) wird dir diese Meldung herausgegeben.


zu 2)
es ist die PHP.INI

Dein Fehler ist das du zu engstirnig denkst in zusammenhang mit XAMPP
(ich meine das nicht abwertend ! auch nicht beleidigend...les erstmal weiter !!!)


XAMPP besteht aus einzelnen Komponenten die allein für sich vorgschriebene Regeln von seiten der Authoren haben.

Somit ergibt sich das der Herausgeber des Buches nicht erklären muss was die Konfigurationsdatei als solches ist, denn das erfährt man bei PHP.NET , dort ist das Webportal des PHP-Projektes, darin sind die defnitionen erklärt.

Auch dort erfährt man genau was es sich mit diesem SAFE-Mode auf sich hat.
Das von dir beschrieben XAMPP-Buch ist mit sicherheit hier und dort Verbesserungswürdig, aber das ist bei jedem Buch so das eine Erklärende funktion inne hat. Siehe es eher als "Leitfaden" an als ein Buch das den XAMPP in allen seinen eigenheiten beschreibt.
Die beschreibungen sind wie erwähnt auf den Projekt Seiten der einzelnen Komponenten zu finden.

zu 3)
http Authenfizierung ist eine Abfrage art die besagt das wer auch immer hinein will den Namen und PW eintragen muss.

cookie Auth. ist eine einmalige Abfrage der Daten in Verbindung mit einem cookies das diese daten speichert und immer beim aufruf an den Abfragecode übergibt.
Löscht man dieses cookie (oder einfach alle) so wird wiederum nur einmal nach den daten gefragt und dann ein cookie gespeichert. (ausser man schaltet cookies im Browser generell ab, aber das ist jedem selber überlassen)

Daraus ergibt sich zu Frage 1 eine Antwort, denn aktiviert ist "cookie abfrage".

Folglich hast Du ein cookie mit leeren passwort im browser gespeichert.

Nun hast Du PW im XAMPP geändert aber das cookie nicht gelöscht.
Hinzukommt da die ganze abfrage Situation "local" abläuft, somit die IP immer gleich bleibt, daraus ergibt sich das die Verifizierung des cookies nicht aktuliesiert.

Schemata
- XAMPP installiert
- Willkommenscreen aufgerufen
- cookie wird gesetzt (gespeichert)
- PW wird geändert
- nun wird cookie wieder abgefragt
- Cookie antwortet aber jetzt immer mit falschen PW
- dadurch erscheint Fehlermeldung.
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

xampp - Sicherheit

Postby guido33 » 20. September 2005 23:04

deepsurfer wrote:zu 1)
die weiteren Antworten erklären das Verhalten von Frage eins.
grundsätzlich geht aber darum das die Authentifizierung derzeit über ein cookie läuft, eben dieses cookie ist bei dir vorhanden.
Nach der Änderung des Passwortes fragt XAMPP dieses Cookie ab, da bei dir eins existiert aber mit falschen Passowrt (weil ja vorher leer) wird dir diese Meldung herausgegeben.


zu 2)
es ist die PHP.INI

Dein Fehler ist das du zu engstirnig denkst in zusammenhang mit XAMPP
(ich meine das nicht abwertend ! auch nicht beleidigend...les erstmal weiter !!!)


XAMPP besteht aus einzelnen Komponenten die allein für sich vorgschriebene Regeln von seiten der Authoren haben.

Somit ergibt sich das der Herausgeber des Buches nicht erklären muss was die Konfigurationsdatei als solches ist, denn das erfährt man bei PHP.NET , dort ist das Webportal des PHP-Projektes, darin sind die defnitionen erklärt.

Auch dort erfährt man genau was es sich mit diesem SAFE-Mode auf sich hat.
Das von dir beschrieben XAMPP-Buch ist mit sicherheit hier und dort Verbesserungswürdig, aber das ist bei jedem Buch so das eine Erklärende funktion inne hat. Siehe es eher als "Leitfaden" an als ein Buch das den XAMPP in allen seinen eigenheiten beschreibt.
Die beschreibungen sind wie erwähnt auf den Projekt Seiten der einzelnen Komponenten zu finden.

zu 3)
http Authenfizierung ist eine Abfrage art die besagt das wer auch immer hinein will den Namen und PW eintragen muss.

cookie Auth. ist eine einmalige Abfrage der Daten in Verbindung mit einem cookies das diese daten speichert und immer beim aufruf an den Abfragecode übergibt.
Löscht man dieses cookie (oder einfach alle) so wird wiederum nur einmal nach den daten gefragt und dann ein cookie gespeichert. (ausser man schaltet cookies im Browser generell ab, aber das ist jedem selber überlassen)

Daraus ergibt sich zu Frage 1 eine Antwort, denn aktiviert ist "cookie abfrage".

Folglich hast Du ein cookie mit leeren passwort im browser gespeichert.

Nun hast Du PW im XAMPP geändert aber das cookie nicht gelöscht.
Hinzukommt da die ganze abfrage Situation "local" abläuft, somit die IP immer gleich bleibt, daraus ergibt sich das die Verifizierung des cookies nicht aktuliesiert.

Schemata
- XAMPP installiert
- Willkommenscreen aufgerufen
- cookie wird gesetzt (gespeichert)
- PW wird geändert
- nun wird cookie wieder abgefragt
- Cookie antwortet aber jetzt immer mit falschen PW
- dadurch erscheint Fehlermeldung.


Besten Dank für die Antwort. Ich würde mir aber doch ein bisschen mehr Sachlichkeit wünschen.

Leider treffen die Antworten nicht zu:

1. PHPMyAdmin Authentifikation: http - und nicht cookie ist angewählt (aktiviert?)

2. Nach vollständig erneuter Installation auf einem anderen PC und zusätzlichem Versuch mit xampplite, wird - trotz der Erfolgsmeldung

"ERFOLG: Das XAMPP Verzeichnis ist nach nun geschützt.
Die Daten wurden in folgenden Dateien archiviert:
C:\xampp\security\xamppdirpasswd.txt
C:\xampp\security\xampp.users
C:\xampp\htdocs\xampp\.htaccess

in jedem der Fälle der Aufruf mit \localhost mit der bereits zitierten Fehlerseite quittiert.

Ich vermute ein Bug! Ist das sonst noch jemanden so ergangen?

Gibt es eine Möglichkeit/Anleitung diese Einstellungen manuell mittels Editor vorzunehmen?

3. Das erwähnte Buch "XAMPP kompakt - Alles was Sie für den Einsatz der Apache-My-SQL-Perl-PHP-Umgebung unter Linux und Windows wissen müssen" (steht auf dem Buchdeckel) erwähnt die angesprochenen Sicherheitseinstellungen, liefert aber eben die Antworten nicht dazu! Hierzu müsste sich ja wenn schon, einer der Autoren äussern.

4. Wo kann man Bugs melden?

Mit freundlichen Grüssen
guido33
 
Posts: 4
Joined: 16. September 2005 20:56

Postby deepsurfer » 22. September 2005 11:21

Dachte eigentlich das ich allein mit dieser Aussage in ein reine Sachlichkeit gehe mit dem Vermerk das ich in keinster weise Dich Persöhnlich angreifen will.
von mir wrote:Dein Fehler ist das du zu engstirnig denkst in zusammenhang mit XAMPP
(ich meine das nicht abwertend ! auch nicht beleidigend...les erstmal weiter !!!)


Es sollte eigentlich unterstreichen das XAMPP nicht als "ganzes" zu sehen ist sondern ein zusammenschluss von mehreren Einzelprogrammen.
Wenn man also ein Problem mit PHP hat ist es nicht ein Problem von XAMPP, darauf aufbauend wenn ein PHPscript auf MySQL zugreift, das nicht XAMPP der Übeltäter ist sondern entweder das PHPscript oder das MySQLprogramm.
In beiden Fällen wäre aber eine Recherche der Fehlermeldungen bei den jeweiligen Authoren sinnvoll.

So...das dazu...

Author: http://www.reibold.de/index.htm
müsste auch im Einband stehen, ist ein eigenständiger Author der dieses Heftchen ohne (nach meinem Wissenstand her) zutun von Kai/Kay geschrieben hat.

Bug Meldungen:
Das Forum, die schnellste art einen BUG zu melden, da damit jeder es gegentesten kann.

Zum Thema Login Fehler nach secutity Script:
- Welche XAMPP Version und welche installversion (Installer / ZIP / EXE-Zip)
- Welches Windows (angaben über SPs nicht vergessen)
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby guido33 » 28. September 2005 14:49

Besten Dank für die Antwort.

Einer Eingebung folgend habe ich den Firefox-Browser installiert.
Mit diesem erhalte ich die Passwort-Abfrage-Maske, so wie es sein soll. Im Internet-Explorer persistiert die Fehlermeldung weiterhin?!

Die Logik ist mir nicht eingänglich.

Die Angelegenheit ist insofern für mich gelöst, wenn auch fragwürdig.

NB: Win XPP SP2

Mit freundlichen Grüssen
guido33
 
Posts: 4
Joined: 16. September 2005 20:56

Postby deepsurfer » 28. September 2005 15:24

was mich sachlich dazu bringt zu sagen das man dennoch mal den IE-Chache und den Cookie-Chache löschen sollte.
Damit aber nicht alle Automatischen Zugänge weg sind, kann man auch gezielt das XAMPPcookie suchen und löschen.
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 4 guests