Neues XAMPP Sicherheitskonzept

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Neues XAMPP Sicherheitskonzept

Postby Haver » 15. October 2009 23:49

Hi zusammen ich arbeite noch nicht so lange mit XAMPP und habe schon mein erstes problem wo ich hir im Board noch keine lösung gefunden habe ich hoffe ihr könnt mir Helfen

Mein Problem ist dasich es einfach nicht hinbekomme das mein server auserhalb von meinen Netzwerk erreichbar ist ich habe mir schon eine dyndns eingerichtet und auch alle ports im Router freigegeben mit denen XAMPP arbeitet

wenn ich die url. aufrufe kommt nur diese meldung :

Zugriff verweigert!

Neues XAMPP Sicherheitskonzept:

Der Zugriff auf das angeforderte Verzeichnis ist nur aus dem lokalen Netzwerk möglich.

Diese Einstellung kann in der Datei "httpd-xampp.conf" angepasst werden.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.
Error 403
haver-homeftp.ath.cx
16.10.2009 00:43:34
Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0 mod_jk/1.2.28 mod_perl/2.0.4 Perl/v5.10.0

in der httpd-xampp.conf habe ich schon geschaut was ich dort anpassen könnte aber da verstehe ich momentan nur Bahnhof

vielen dank schonmal im Vorraus

mfg.Haver
Haver
 
Posts: 1
Joined: 12. October 2009 22:46

Re: Neues XAMPP Sicherheitskonzept

Postby Pitze » 17. October 2009 16:45

Wie versuchst du den darauf zu zugreifen Was für eine Url??
in der httpd-xampp.conf habe ich schon geschaut was ich dort anpassen könnte aber da verstehe ich momentan nur Bahnhof

"^/(?i:(?:xampp|security|licenses|phpmyadmin|webalizer|server-status|server-info))"

Ist im grunde gar nicht so schwer dies steht am Ende der xampp.conf und ist ein so genannter "regulärer ausdruck" alle Namen die du da siehst sollten dir ja wohl bekannt sein, finndest du wenn du das Xampp-Verzeichniss bzw htdocs öffnest, alle Namen sind gesperrt über die "Order deny,allow" Anweisung. Hast du nun in deiner Webaplikation irgend einen dieser namen benutzt, sei es als Verzeichniss oder auch Datei-Name wird dir der Server immer den Zugriff verweigern da nur local(der rechner auf dem der server ist) darauf zugegriffen werden darf. Das heist du kannst nicht und solltest auch nicht von Ausserhalb auf die Xampp-Seite bzw den anderen Aplikationen die im "regulären-ausdruck" stehen zugreifen.
Du wirst wohl oder übel dir ein eigenes Webverzeichniss anlegen müssen und mittels vhorst dann darauf zugreifen. Somit entkommst du zu mindest der doch etwas unübersichtlichen httpd.conf. Oder du räumst das htdocs leer und nimmst das. Vermeiden solltest du die Namen im Ausdruck trotzdem.
Ausserdem solltest du in der default.conf "ServerTokens Prod" und "ServerSignatur off" setzen um Potenziellen Angreifern nicht zu viel Infos über dein System preis zu geben. Es gibt aber noch einiges mehr was fürs web angepasst werden sollte.
Da kommt eine menge Arbeit und eine grosse Verantwortung auf dich zu mit dem Server im Web erreichbar zu sein das macht man nicht mal so eben zwischen Mittagessen und Kaffee trinken. Über Sicherheit solltest du dir ernsthafte Gedanken machen gibt viele Böse Leute im Web die nichts gutes im Sinn haben und das ist wahrlich kein Scherz.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Neues XAMPP Sicherheitskonzept

Postby Tobias Claren » 23. October 2009 01:25

OK, dann schalte ich in der FritzBox aus Frackigkeit auf Exposed Host und lasse es erst mal mit dem Server :mrgreen: .

:wink: Man hat den Eindruck hier ginge es um die Verhütung von Aids.
Wenn XAMPP nicht mehr funktioniert (ich habe noch nicht nach einer alten Version gesucht), Was gibt es denn für "Klicki-Bunti"-Alternativen? Am besten inkl. Kontrollseite wie man sie von Hostern kennt.
Notfalls auch kostenpflichtig, wenn es gratis nichts gutes gibt.

Naja, evtl. konzentrieren sich die Zugangsprovider irgendwann ja auch mal auf Server an den DSL/VDSL-Anschlüssen ihrer Privatkunden.
Es muss ja immer etwas neues geboten werden. Mehrplatznutzung war früher nauch mal "verboten". Jetzt wird es lange beworben.
Ob 1&1 solchen Heimwebspace gleich annehmen würde (Webspace ist ja auch ihr Geschäft)... Aber gerade mit den VDSL-Anschlüssen steht mit 5MBit oder 10MBit (5 Euro mehr, wenn verfügbar) viel Bandbreite zur Verfügung. Bandbreite die man sich nicht teilen muss.
Eine feste IP wäre in einem solchen Marketingszenario sicher ideal, aber nötig wäre sie (zumindest fürs erste) nicht. DynDNS reicht.
Wenn ich es richtig vertstanden habe muss als "CNAME" die DynDNS-Adresse eingetragen werden. WO auch immer man das macht...

Dann gäbe es wohl endlich einfach zu bedienende Serversoftware die man installiert wie irgendein Spiel/Officeprogramm, die zu bedienen ist als wäre es bei einem Hoster (wie Confixx und Co.).

Aber ich befürchte dass es in dem Gewerbe Leute gibt die etwas dagegen haben wenn so eine Software rauskommt.
Was auch immer die Gründe sind.
Bevormundung? Oder elitäres Denken? Bzw. die Angst der eigene Tätigkeitsbereich wird im Wert gemindert wenn jeder DAU daheim einen Server betreiben kann.
Tobias Claren
 
Posts: 8
Joined: 30. October 2007 06:31

Re: Neues XAMPP Sicherheitskonzept

Postby Pitze » 23. October 2009 23:01

Hej, wole
Ich begrüße es wenn Xampp nicht mehr ohne weiteres direkt aus dem Internet aufgerufen werden kann.

Denn dann könnte es in Zukunft nicht mehr zu viele infizierte Systeme geben weil jeder DAU mal schnell einen Webserver aufsetzt und nicht weiß welche Gefahren für Ihn (und andere Internet-Nutzer) entstehen.
Der, der "etwas" Ahnung hat, kann Xammp leicht wieder freischalten fürs Internet, wer das nicht kann sollte auch keinen Webserver betreiben !!!

Da muss ich dir beipflichten. Es wäre ein leichtes für mich gewesen im zu sagen wie man es abstellt aber das ist ja nun mal nicht Sinn der Sache. Überdies eine der besten änderungen seit langen.
Und außerdem: Xampp ist nicht als Produktiv-System gedacht, sondern als Test- und Spielumgebung (kennenlernen von Apache und CO)

Das war und ist eigendlich die Grundidee die hinter der ganzen Xampp-Sache steckt. Wer sich aber mal den Apache und Co einzeln Installiert hat wird feststellen das deren Grundkonfig nicht so sehr weit von Xampp entfernt ist. Soll heissen auch die Einzelkomponenten sind nicht Einsatzsicher und wer es kann ist durchaus in der Lage Xampp Internet tauglich zu Konfigurieren, nur Konfiguriert und betreibt man keinen Webserver mal so eben zwischen Mittag und Kaffeetrinken. Ausserdem darf man Betriebssytem und Webaplikation nicht ausser betracht lassen letztere ist für den Grossteil der erfolgreichen Angriffe verantwortlich.
Fazit: Wer mit Xampp oder mit Einzelinstallation ans Internet geht sollte sich aussreichend Fachwissen aneignen bevor er das Wagniss eigener Websever beginnt.
@Tobias Claren,
Lass dich dennoch nicht entmutigen auch wenn es jetzt vielleicht etwas heftig war, wir haben alle mal angefangen keiner ist als Meister geboren. Es gibt genügend Literatur im Buchhandel und auch lesenswertes im Internet wegen Bücher kannst du hier mal schauen www.galileocomputing.de und hier via Internet http://aktuell.de.selfhtml.org/ lezteres nicht mehr ganz taufrisch aber für den Anfang noch ganz brauchbar, sind einige leicht verstäntliche Erklärungen dabei.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Neues XAMPP Sicherheitskonzept

Postby Tobias Claren » 25. October 2009 23:42

Nicht böse nehmen :mrgreen: ...


Welche "Gefahren" entstehen denn
1. für Ihn, und
2. "fürs Internet"?

Dass "ihn" Daten verliert?
Ja und?

Natürlich ist hier auch das WLAN offen, "Muharharhar" *diebisch freu* ;D .

XAMPP ist also generell nicht für den Zugriff über das Internet gedacht und wird auch nicht so eingesetzt?
Es ist ausschließlich dafür gedacht Scripte und Seiten vor dem Upload ins Internet schnell zu testen?



wole wrote:
Ich begrüße es wenn Xampp nicht mehr ohne weiteres direkt aus dem Internet aufgerufen werden kann.

(...)

Der, der "etwas" Ahnung hat, kann Xammp leicht wieder freischalten fürs Internet, wer das nicht kann sollte auch keinen Webserver betreiben !!!

Da steht ja nicht, wo etwas geändert werden muss.
Ich verspüre dahinter eine (entschuldigung) *pieeep* (es waren keine Kraftausdrücke!) Bevormundung.
Dass es keine Angabe zum deaktivieren dieser Sperre gibt bestätigt dieses Bild.

Erinnert etwas an Amateurfunker oder frustrierte Radio/Fernsechniker.
Beide verlieren an Ansehen. Die AFU verlieren Mitglieder. Früher waren Sie mit ihrem Phallussymbol im Garten noch etwas besonderes wenn sie z.B. mit Afrika funkten. Mit zunehmender vor allem kostenloser und schneller weltweiter Kommunikation ist das nicht mehr so. Dann evtl. noch Anfeindungen durch Strahlenphobiker. Das geht auf das Ego der älter werdenden AFU die viel für ihre Prüfung gelernt haben. Man "verweigert" ihnen nun den gewohnten Respekt. Für sie eine Art Mayestätsbeleidigung, definieren sie sich doch über dieses Wissen.
Bei Radio/Fernseh-Technikern spürt man auch so eine arrogante Verbitterung, da ihr Berufszweig wohl ausstirbt.
Es gibt nichts mehr zu reparieren. Positiv aber, durch Modulbauweise und Zukäufe kann der Endanwender oft selbst eine Reparatur vornehmen. Dazu braucht man keinen Techniker mehr.

Was im Bereich der Webdesigner für eine "Denke" existiert kann man vermuten.
Die Angst etwas "besonderes" zu verlieren? Und damit auch etwas worüber sich so Jemand definiert.
Hier geht es aber nur um einen Webserver an sich. Nicht um Webdesign, das eigentliche Fachwissen.
Wer sich einen Webserver aufsetzen kann, braucht trotzdem noch Jemand der z.B. php schreibt.
Die die das eigentlich ablehnen müssten, wären die Webhoster. Nimmt es doch Ihnen potenzielle Kunden.


Dazu "turnx" bei Tutorials.de:
Wie bekomm ich den Quatsch wieder so wie er schon immer was, die schrieben das man das in der httpd-xampp.conf anpassen kann, aber wie schreiben die spinner nicht


Aber ich lasse mich gerne vom Gegenteil überzeugen.
Hiermit bitte ich um den "Zugangscode" für XAMPP.
Man findet diese Veränderung nicht mal, wenn man danach sucht. Das ist ja oft das worum es geht.

Übrigens, das ist die Antwort bei Tutorials.de:
(...)Das solltest du abstellen können, wenn du aus diese Zeile:
Code:

<LocationMatch "^/(?i?:xampp|security|licenses|phpmyadmin|webalizer|server-status|server-info))">

...dahingehend änderst:
Code:

<LocationMatch "^/(?i?:security|licenses|phpmyadmin|webalizer|server-status|server-info))">

...und dann den Apache neu startest.

Danach ist der "Quatsch" weg(...)


Korrekter wäre aber wohl
#
# New XAMPP security concept (disabled)
#
<LocationMatch “^/(?i:(?:xampp|security|licenses|phpmyadmin|webalizer|server-status|server-info))”>
Order allow,deny
Allow from all
</LocationMatch>





Es wäre ja kein Problem gewesen den geänderten Teil in einem inaktiven Teil am Ende der Datei nennen.
Dass dies nicht so ist bestätigt doch diese Gedanken.

OK, "XAMPP" ist ein "Entwicklungsserver", und "nicht für den Produktivbetrieb gedacht".
Welchen "installieren-und-benutzen-Server sollte man denn ohne "Produktivabsicht" auf seinem Heimrechner installieren?
Oder ist das eine provokante oder "verbotene" Frage?
Ich fand bisher als Endkundenwebserver nur Q&E Webserver der wahrscheinlich zweimal auf eine Diskette passt.
Mich irritiert so wenig Datenmenge etwas, sind "Server" wie XAMPP doch wohl über 150x größer.


Die GNU erlaubt es mir ja nach der Änderung der Datei das Paket wieder zu packen (das die Exe nur halb so groß ist wie die ZIp lässt eine schlechte Kompimierung der zip vermuten) und zum Download anzubieten ;D .
Z.B. über Rapidshare (natürlich mit Link auf eigener Domain oder bei jeder Gelegenheit im Netz angeboten)... Oder einfach über einen offenen XAMPP-Webserver auf den eine DynDNS-Adresse weist, auf die evtl. noch eine de.vu oder ähnliches weist (oder eine richtige Domain, ZDNet beschreibt wie das geht).
Das Horrorszenario hier? Mal schauen, dürfte ja kein Aufwand sein, und Bandbreite die man am dsl-Anschluss nicht nutzt spart keine Gebühren...
Last edited by Tobias Claren on 11. December 2009 23:45, edited 2 times in total.
Tobias Claren
 
Posts: 8
Joined: 30. October 2007 06:31

Re: Neues XAMPP Sicherheitskonzept

Postby Pitze » 28. October 2009 18:50

@Tobias Claren
du hast von tuten und blasen absolut keine Ahnung und vom Webserver bzw xampp schon gar nicht davon dann aber wieder reichlich aber mutig soviel nichtwissen auch noch öffendlich kund zu tun. :?: :?: :?:
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 13 guests