Doch, das darf so sein. Es ist nun einmal NICHT für den Serverbetrieb gedacht. Und es widerspricht meinem Rechtsempfinden, Xampp dafür verantwortlich zu machen. Oder machst Du auch die Autoindustrie verantwortlich für die tödlichen Unfälle, die Fahranfänger mit deren Autos verursachen?
Es geht mir garnicht um Verwantwortung und/oder darum Verantwortung irgendwem zuzuschieben. Es geht mir um
reale Probleme völlig unbeteiltigter Personen, an denen man sich hier seit Monaten die Zähne ausbeißt, als deren Ursache sich diese Konfiguration von XAMPP erwiesen hat. Es geht nicht darum, irgendwem die Schuld daran zu geben, es geht darum, dieses Problem aus der Welt zu schaffen.
Sei mal konstruktiv anstatt Dich abstrakt irgendwo zu beschweren, und arbeite ein wirklungsvolles Konzept aus, wie verhindert wird, dass Anfänger mit Xampp Mist bauen. Das hätte sicher erheblich mehr Chancen erhört zu werden als einfach nur zu motzen. Und Lösungen wie "LISTEN 127.0.0.1" o.ä. sind dabei ebenso fruchtlos wie das vorgenannte Allow from localhost - das ist das allererste, was dann rausgeworfen wird...
Inwiefern? Das Problem ist benannt - es gibt einen Standarduser, der es ermöglicht, aus der Ferne ein XAMPP-System zu kompromittieren. Dieses Problem wird in der Dokumentation nicht wirklich konkret benannt, und ist an der Stelle, wo es Erwähnung finden sollte, im "Security-Check" nicht erwähnt. Und da WebDAV kaum jemand der hier betroffenen Kandidaten nutzen wird, wäre sogar "Allow from localhost" eine annehmbare Lösung.
Ich fürchte, du bist dir nicht ganz der Tragweite dieses Problems bewusst und fühle mich ein wenig missverstanden. Es geht eben gerade um etwas, was tatsächlich nicht in den FAQ Erwähnung findet (da hast du ja als erstes drauf hingewiesen - aber glaub bitte nicht, wir hätten das nicht sorgfältig geprüft).
Es geht hier um Remote-Code-Execution, das hat nichts mit den in den FAQ genannten Sicherheitsproblemen zu tun.
So, konstruktive Vorschläge, was man dahingehend an der Konfiguration ändern könnte, damit man diese nicht zwischen meinen Zeilen herauslesen muss :
1. WebDAV nicht per Default einschalten
ODER
2. WebDAV in der Default-Konfiguration nur lokal nutzbar machen
ODER
3. WebDAV ohne vorgefertigte User konfigurieren
ODER
4. PHP-Modul für die WebDAV-Freigabe deaktivieren
Wobei ich persönlich kein Problem damit hätte, den (Xampp)-Apache so zu compilieren, dass knüppelhart nur auf 127.0.01 gehorcht wird oder (als Kompromiss) noch die LAN-Bereiche 192.168.x.x und 10.x.x.x
Dann kann man es endgültig NICHT mehr im WWW einsetzen. Schlage es ruhig mal vor, meine Unterstützung hättest Du.
Erneut fühle ich mich missverstanden. Es geht mir nicht um Flames oder darum, XAMPP madig zu machen, oder gar den Betrieb selbst nach Absicherung zu verhindern. XAMPP ist für seinen Zweck ein feines Stück Software, aber hier liegt ein schwerwiegendes, jedoch unnötiges Sicherheitsproblem vor, und das selbst dann, wenn man alle Hinweise der Dokumentation beachtet.
[Edit: Rechtschreibfehler]