Rewrite mit falschem Ordner

Alles, was den Apache betrifft, kann hier besprochen werden.

Rewrite mit falschem Ordner

Postby rawb1t » 08. March 2017 14:30

Hallo,

ich bastle gerade an einer Website. Für diesen Zweck will ich (zur Sicherheit) die Dateiendung .php verschleiern. Aus diesem Grund nutze ich folgendes Rewrite:

Code: Select all
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /([^\ ]+)\.(php|pl|py|cgi|htm|html)
RewriteRule ^/?(.*)\.(php|pl|py|cgi|htm|html)$ /$1 [L,R=301]

RewriteCond %{REQUEST_FILENAME}\.php -f
RewriteRule ^/?(.*)$ /$1.php [L]

Das funktioniert soweit auch. Der Zugriff auf login.php / login.html / login.pl etc wird umgeleitet zu /login. Jetzt ist aber das Problem, dass auf dieser Seite Benutzer Profile erstellen können, die mittels Username so aufrufbar sind:

www.domain.com/username

Dabei entsteht natürlich ein Konflikt mit möglichen vorhandenen Dateien. Ich hab mich mal umgesehen, wie andere Seiten das gelöst haben. Am besten hat mir das vorgehen von Twitter gefallen, die alle echten Dateien mit dem Präfix /i/ aufruft. (Also /i/login statt /login).

Das möchte ich in mein Rewrite auch einbauen, allerdings scheitere ich daran. (Ich möchte das mit /s/ - für "system" - lösen). Mod_Rewrite ist leider nicht meine Stärke. Kann mir jemand dabei helfen meine Zeilen so umzubauen, dass echte Dateien (mit Ausnahme von index) nur über folgende Syntax aufgerufen werden können: /s/login, /s/register, /s/pw-forget, etc...? Bzw das ganze auch gleich um eine Zeile ergänzen, die dann /(a-zA-Z0-9) in profile.php?$1 umwandelt, ohne dass eine Weiterleitung auf /s/profile?$1 oder so passiert?

Vielen Dank.
rawb1t
 
Posts: 1
Joined: 08. March 2017 14:26
XAMPP version: 3.2.2.0
Operating System: Windows 10

Re: Rewrite mit falschem Ordner

Postby Altrea » 08. March 2017 16:51

Hallo,

rawb1t wrote:ich bastle gerade an einer Website. Für diesen Zweck will ich (zur Sicherheit) die Dateiendung .php verschleiern.

Ich halte von diesem Verfahren mit der Argumentation "Sicherheit" garnichts, denn es bringt keinen Sicherheitsgewinn.
Das Prinzip nennt man übrigens Security by obscurity => https://de.wikipedia.org/wiki/Security_ ... _obscurity

Im Gegenteil siehst du gerade jetzt, dass dies sogar fehlerträchtig sein kann. Im schlimmsten Fall reißt du dir sogar richtig ernste Sicherheitslücken in dein System, wenn zum Beispiel eigentlich ungeroutete und damit nicht direkt zugreifbare Dateien plötzlich doch zugreifbar werden.

mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8889
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: Rewrite mit falschem Ordner

Postby Nobbie » 08. March 2017 18:14

rawb1t wrote:Für diesen Zweck will ich (zur Sicherheit) die Dateiendung .php verschleiern.


Was ist dann sicherer und warum ist das sicherer? Hältst Du es für unsicher, wenn eine Datei .php heißt? Und wenn ja, was ist daran unsicher?

Altrea wrote:Das Prinzip nennt man übrigens Security by obscurity => https://de.wikipedia.org/wiki/Security_ ... _obscurity


Witzig! Kannte ich noch gar nicht, der Begriff ist schon so klasse. Aber das ist genau das, was mir auch alles so einfiel. Das ist einfach Käse, so einfach "vor sich hin zu schleiern". Was soll das bringen?? Und auch die Anmerkung aus dem Wiki: "Auf diesem Prinzip beruhende Systeme sind intransparent für dessen Anwender und damit wenig geeignet, Vertrauen in Sicherheit zu schaffen: „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“" - ein Volltreffer, versenkt! Genau das Problem wie hier, es kollidiert mit dem Datenmodell.
Nobbie
 
Posts: 9622
Joined: 09. March 2008 13:04


Return to Apache

Who is online

Users browsing this forum: No registered users and 5 guests