htaccess blockt jpg über http

Alles, was den Apache betrifft, kann hier besprochen werden.

htaccess blockt jpg über http

Postby chris47803 » 09. November 2014 17:02

Hallo,

ich hoffe hier kann jemand dieses Problem lösen.

In einem Ordner liegt eine .htaccess mit folgendem Inhalt.
Code: Select all
# secure directory by disabling script execution
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi .php5 .php4 .php3 .phps
Options -ExecCGI -Indexes


In dem gleichen Ordner lade ich über mein CMS Bilder im Format .jpg hoch.
Hochladen und löschen funktioniert einwandfrei.
Die Bilder lassen sich aber nicht über die URL aufrufen.
Entferne ich die .htaccess geht es aber.
Die .htaccess soll aber nicht aus Sicherheitsgründen entfernt werden.

Kann man die .htaccess so erweitern, das die Bilder aus diesem Ordner trotzde gelesen werden können?

LG,Chris
chris47803
 
Posts: 9
Joined: 25. March 2006 19:08

Re: htaccess blockt jpg über http

Postby Nobbie » 09. November 2014 19:54

chris47803 wrote:Die .htaccess soll aber nicht aus Sicherheitsgründen entfernt werden.


Nur trägt diese .htaccess nichts zur Sicherheit bei. Da kannst Du auch eine Flasche Wein in den Garten stellen, um Dein Grundstück zu bewachen...

Von daher würde ich die .htaccess in der Tat einfach löschen, ist natürlich Deine Entscheidung, aber wenn Du sie weiter so beibehalten willst, müßte man sehr tief in die Materie gehen (und da müßten wir massiv mehr wissen, was überhaupt so alles dort geschieht), um den "Fehler" zu finden. Aber (wie gesagt) DIESE .htaccess sichert gar nichts. Wirklich nicht, wer auch immer das behauptet.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: htaccess blockt jpg über http

Postby chris47803 » 10. November 2014 06:27

Hallo,

die .htaccess verhindert doch aber die Ausführung von Scripten mit den eingetragenen Endungen, oder nicht?

Welche Infos brauchst du noch?

LG, Chris
chris47803
 
Posts: 9
Joined: 25. March 2006 19:08

Re: htaccess blockt jpg über http

Postby Altrea » 10. November 2014 07:10

Hallo Chris,

chris47803 wrote:die .htaccess verhindert doch aber die Ausführung von Scripten mit den eingetragenen Endungen, oder nicht?

Jein. Die .htaccess bewirkt zwei Dinge:
  • Dateien mit den aufgeführten Endungen werden als CGI Scripte behandelt
  • Ausführung von CGI Scripten wird deaktiviert

Ich musste länger suchen bis ich tatsächlich eine Quelle gefunden habe, die dies als Sicherheitsanpassung empfiehlt (http://www.askapache.com/htaccess/secur ... ccess.html)

In meinen Augen kommt das fast einer Vergewaltigung der Apache Direktiven gleich.
Wenn du ein Verzeichnis hast, in dem nur bestimmte Dateitypen angefragt werden sollen, dann bau dir besser eine entsprechende RewriteRule die alle Dateien die sich nicht in einer whitelist befinden auf die ein ErrorDocument 404 oder 403 weiterleitet, etwa in dieser Art

Code: Select all
RewriteEngine on
RewriteBase /

RewriteCond %{REQUEST_FILENAME} !^(.*)\.(jpe?g|png|gif)$ [NC]
RewriteRule ^(.*)$ - [R=404,L]


mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8294
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: htaccess blockt jpg über http

Postby Nobbie » 10. November 2014 11:53

chris47803 wrote:die .htaccess verhindert doch aber die Ausführung von Scripten mit den eingetragenen Endungen, oder nicht?


Nein, zunächst einmal erlaubt und definiert die .htaccess das Ausführen von Dateien mit den angegeben Endungen - also definitiv das Gegenteil dessen, was Du glaubst.

Und danach (vollkommen über das Ziel geschossen) wird grundsätzlich das Ausführen von Scripten jederlei Art verboten (auch mit möglicherweise anderen Endungen).

Und dann brauchst Du doch nur noch eins und eins zusammen zu zählen, denn eines ist auch offensichtlich: mit *.jpg ist da gar nichts vereinbart, weder im Guten noch im Bösen. Wenn nun also irgendetwas (egal was - hier ist es die Anzeige der jpg-Dateien) nicht funktioniert, KANN ES NUR EINE URSACHE HABEN: offensichtlich wird für die Anzeige irgendein Script aufgerufen und das darf jetzt aber nicht mehr ausgeführt werden.

Mit "Sicherheit" hat das überhaupt nichts zu tun, das ist einfach falsche Logik. Wenn es dann so ist, dass die Bilder sowieso via Script angezeigt werden (und nicht einfach die URL genommen wird), dann wäre es im Sinne der Sicherheit einzig sinnvoll, die Bilder so zu speichern, dass sie außerhalb des DocumentRoot liegen - dann liegen sie wirklich geschützt und jeglicher Mißbrauch (auch ggf. Script Uploads) ist ausgeschlossen. Andererseits sollte bereits das CMS beim Upload auch dafür sorgen, dass nur *.jpg Dateien hochgeladen werden. So oder so ist diese .htaccess sinnlos und erhöht die Sicherheit nicht und letztendlich ist sie die Ursache Deines Problems.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: htaccess blockt jpg über http

Postby Nobbie » 10. November 2014 11:59

Altrea wrote:Ich musste länger suchen bis ich tatsächlich eine Quelle gefunden habe, die dies als Sicherheitsanpassung empfiehlt (http://www.askapache.com/htaccess/secur ... ccess.html)

In meinen Augen kommt das fast einer Vergewaltigung der Apache Direktiven gleich.


Grausam! Und das soll auch noch ein Lehrer sein?
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Re: htaccess blockt jpg über http

Postby chris47803 » 10. November 2014 18:53

Hallo,

jetzt bin ich verwirrt. :roll:

Mal ein Beispiel ohne CMS.

Ich lade ein .jpg in den Ordner in dem die .htaccess liegt per FTP hoch.
Dann kommt beim Aufruf über http die Meldung:
Code: Select all
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, [no address given] and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.


Lösche ich die .htaccess geht es.

Also wird doch das .jpg geblockt, oder verstehe ich das falsch?


LG,Chris
chris47803
 
Posts: 9
Joined: 25. March 2006 19:08

Re: htaccess blockt jpg über http

Postby Altrea » 10. November 2014 19:47

chris47803 wrote:Also wird doch das .jpg geblockt, oder verstehe ich das falsch?

Zunächst einmal erhälst du einen HTTP Status Code 500, den du dir über den Apache error.log ansehen solltest
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8294
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: htaccess blockt jpg über http

Postby chris47803 » 10. November 2014 20:14

Hallo,

ich habe da leider keinen Zugriff drauf.

LG,Chris
chris47803
 
Posts: 9
Joined: 25. March 2006 19:08

Re: htaccess blockt jpg über http

Postby Altrea » 10. November 2014 21:30

Dann setze dich mit deinem Hoster in Verbindung diese Information einzuholen.
Irgendwie muss es dir doch möglich sein deine Scripte und Konfigurationsanpassungen zu debuggen
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8294
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: htaccess blockt jpg über http

Postby Nobbie » 10. November 2014 21:34

chris47803 wrote:Also wird doch das .jpg geblockt, oder verstehe ich das falsch?


Zweiteres - Du verstehst das falsch. Ein 500-er Fehler hat nichts mit Blockieren zu tun, sondern ist ein schwerer Konfigurationsfehler. Mehr kann man von hier aus nicht sagen.

Ich würde raten (und mehr geht nicht bei den vollkommen fehlenden Informationen), dass das "CMS" (nicht einmal das nennst Du uns) evtl. eine .htaccess im Installationsverzeichnis hat und die kollidiert nun mit irgendetwas aus dem "Rest der Konfiguration".

Um auf Deine Frage zurückzukommen, was uns an Informationen fehlt: ALLES!

CMS Name.
Domain Name.
Apache Konfiguration.
CMS Konfiguration.
usw. etc. pp. - das einzige was Du nennst, ist die Tatsache, dass ein Fehler passiert.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04


Return to Apache

Who is online

Users browsing this forum: No registered users and 3 guests