Apache Friends Support Forum

[BlackMilk]

Hallo,

ich bevor ich hier zerfleischt werde, muss ich dazusagen, dass ich das XAMPP-Handbuch gekauft habe und durchgelesen habe, sowohl auch viel gegoogled und mich hier informiert habe. Jedoch finde ich, dass zum Teil das Handbuch, als auch diverse Forumbeiträge und Googleaweisungen nicht genau bzw. Benutzerfreundlich beschrieben sind und für einen Anfänger schwer zu verstehen sind - aber damit muss man wohl leben!

Jedenfalls hat der XAMPP-Server nun eine statische IP und läuft soweit. Dieser ist aus dem lokalen Netzwerk, sowie auch im Internet erreichbar.

Ich möchte nun gerne, dass ich auch das "/phpmyadmin"-Steuerungmenü von außen (Internet) erreichbar ist und man somit über dieses Web-Interface eine Datenbank erstellen kann. (Ist das die richtige Vorgehensweise?) oder gibt es dort einen anderen Weg?

Wo/In welcher Datei bzw. Config muss ich dies einstellen und was genau muss ich dort einstellen?

Wäre um jeden Rat und Beschreibung dankbar!

[Altrea]

Hallo,

ich bevor ich hier zerfleischt werde, muss ich dazusagen, dass ich das XAMPP-Handbuch gekauft habe und durchgelesen habe
[...]
Jedenfalls hat der XAMPP-Server nun eine statische IP und läuft soweit. Dieser ist aus dem lokalen Netzwerk, sowie auch im Internet erreichbar.

Ich muss zu meiner Schande gestehen, dass ich keines der XAMPP Bücher kenne. Steht dort wirklich beschrieben, wie man ein XAMPP-Paket für das Internet zugänglich macht?
Das eigentliche Einsatzgebiet einer XAMPP Umgebung ist eigentlich ein anderes. Da die XAMPP Komponenten so offen konfiguriert sind ist, im Gegenteil, von einem Einsatz mit Internetzugang strikt abzuraten!
Deshalb hoffe ich, dass das Buch (sofern es wirklich das Thema wie man ein XAMPP Paket über das Internet nutzbar machen kann) ein ganz ganz dickes Kapitel zum Thema Absicherung der XAMPP Komponenten beinhaltet.

Jedoch finde ich, dass zum Teil das Handbuch, als auch diverse Forumbeiträge und Googleaweisungen nicht genau bzw. Benutzerfreundlich beschrieben sind und für einen Anfänger schwer zu verstehen sind

Aus gutem Grund! Denn einen (Web-)Server im Internet zu betreiben ist keine Aufgabe der sich ein Anfänger stellen sollte.

Auch wenn ich aus dem gerade genanntem Grund keine Hilfestellung leisten werde, um dein System nicht noch weiteren Gefahren auszusetzen, hoffe ich, dass du meine Antwort dennoch hilfreich findest. Eine ungesicherte XAMPP Umgebung im Internet (am besten noch auf deinem Privatrechner mit all deinen wichtigen Daten) ist eine Gefahr für dich und auch für andere. Sollte irgendwer daher kommen, und aus deinem System eine Spamschleuder oder sogar noch schlimmeres machen, könntest du unter Umständen mit Haftbar gemacht werden.

[BlackMilk]

Ja, das habe ich schon oft genug gelesen, dass die XAMPP-Umgebung "eigentlich" nicht Internettauglich ist, jedoch besteht mein Systemadmin darauf und ich muss diesen nun einrichten. Auf dem Rechner sind soweit keine wichtigen Daten drauf und wir haben auch einen ziemlich guten Business-Router im Einsatz; bzw. sind denke ich mal gut gesichert - und werden uns sicherlich noch einen Rat von einem Internet-/Sicherheitsspezialisten holen. Jedoch muss erstmal der oben beschrieben Zugriff funktionieren.

Der Hintergrundgedanke ist, dass Mitarbeiter später auf eine Datenbank zugreifen können, um dort ihren Stundennachweise eintragen zu können.

Ich verstehe dein Besorgen, werde jedoch dann selber an der Config rumspielen müssen - und das wird eventuell noch schlechtere Auswirkungen haben. Darum ist dein Rat wohl sicherlich besser!

Edit: viewtopic.php?f=4&t=43465&p=170556&hilit=phpmyadmin+online#p170556
gerade gefunden.. da hast du es schonmal beschrieben gehabt, dann teste ich das mal.. =)

Edit2: Funktioniert super! und gut erklärt!

[Nobbie]

Ja, das habe ich schon oft genug gelesen, dass die XAMPP-Umgebung "eigentlich" nicht Internettauglich ist, jedoch besteht mein Systemadmin darauf und ich muss diesen nun einrichten.

Dann soll Dein Systemadmin auch einrichten und die Verantwortung tragen. Außerdem höre ich aus diesen Worten heraus, dass es sich offensichtlich um eine Firma o.ä. handelt - in solchen Fällen gebe ich ohnehin keinen kostenfreien Support, denn Firmen leben selbst auch nicht davon, anderen etwas zu schenken.

[BlackMilk]

Achso, wird man hier dann also noch diskriminiert?

Das ist ein Öffentliches Forum - und an dieses kann sich wohl jeder User wenden oder liege ich hier falsch.


Der Befehl: "$cfg['Servers'][$i]['auth_type'] string ['HTTP'|'http'|'cookie'|'config'|'signon']" - welches wäre hier denn das richtige bzw. sicherste? HTTP?

[Altrea]

Ja, das habe ich schon oft genug gelesen, dass die XAMPP-Umgebung "eigentlich" nicht Internettauglich ist

Dann solltest du das endlich mal ernst nehmen!

jedoch besteht mein Systemadmin darauf und ich muss diesen nun einrichten.

Ein Systemadmin der darauf besteht, dass du eine unsichere Umgebung auf einem seiner anvertrauten Systeme installierst? Was ich von so einem Systemadmin halte, möchte ich jetzt nicht weiter ausführen. Den kann man sich eigentlich einsparen.

und werden uns sicherlich noch einen Rat von einem Internet-/Sicherheitsspezialisten holen. Jedoch muss erstmal der oben beschrieben Zugriff funktionieren.

Das ist genau die falsche Reihenfolge. Zuerst holt man sich fachkundigen Rat und danach setzt man die Anforderungen um und zwar so, dass die Sache sicher ist.

Der Hintergrundgedanke ist, dass Mitarbeiter später auf eine Datenbank zugreifen können, um dort ihren Stundennachweise eintragen zu können.

Noch ein Grund mehr die Sicherheit nicht zu vernachlässigen. Stundennachweise sind personenbezogene Daten und die gehören ganz besonders geschützt.

Dann nimmt man sich Apache, MySQL, PHP als Einzelkomponenten und setzt sie in der Standardkonfiguration auf. Das ist schonmal tausendmal sicherer als das XAMPP Paket. Aber was rede ich hier überhaupt, das scheint mir wie Perlen vor die Säue.

[BlackMilk]

Amen.

Wird hier einem eigentlich geholfen oder wird man hier nur zurechtgewiesen und verarscht?

Wenn der liebe XAMPP-Server doch so unsicher ist, warum gibt es diesen dann? Warum gibt es ein XAMPP-Forum?
Alsob hier 99% den XAMPP-Server nur lokal benutzen, da, wo sie sich sicher fühlen.

Man muss einfach selbst ausprobieren und sich auch Hilfe (wie z.B.: Hier) holen, anders kann man XAMPP wohl nicht lernen - probieren geht über studieren. Ein Buch ist zwar ein guter Einstieg, bringt einen jedoch auch nicht so weit. Wenn aber einem garnicht geholfen wird, kann mans ja gleich vergessen.

Und wenns in die Hose geht, und ich 100 Sicherheitslücken habe, dann bin ich natürlich schuld - aber auch ihr, weil es keine Hilfe gibt und nur rumgeheult und gemotzt wird.

Warum ist es denn sicherer, wenn ich alles als einzelne Komponenten installieren? (Danke für den Tipp, kann ich ansprechen, jedoch knallst du mir hier einfach was vor den Kopf, ohne es zu begründen oder zu erklären. - Viele Anfänger haben wohl nicht so ein Wissen, wie du es hast.)

Du würdest dich auch ärgern, wenn du was machst, und du keine Hilfe bekommst. - Natürlich ist hier keiner dazu verpflichtet einem zu helfen, jedoch sollte das mal gesagt sein.

[Altrea]

Wird hier einem eigentlich geholfen oder wird man hier nur zurechtgewiesen und verarscht?

Wenn du dich verarscht fühlst, dann hast du hier einiges Missverstanden. Wir möchten dich vor den Gefahren warnen und schützen.

Wenn der liebe XAMPP-Server doch so unsicher ist, warum gibt es diesen dann? Warum gibt es ein XAMPP-Forum?

Für all die User, die das XAMPP Paket seinem Einsatzzweck entsprechend verwenden möchten, als lokale portable Entwicklungsumgebung die flüssiges Arbeiten durch eine sehr offene Konfiguration fördert.

Alsob hier 99% den XAMPP-Server nur lokal benutzen, da, wo sie sich sicher fühlen.

Davon gehe ich aus. Und der 1% der dies leichtsinnigerweise nicht vorhat wird im Forum gewarnt, so wie du.

Man muss einfach selbst ausprobieren und sich auch Hilfe (wie z.B.: Hier) holen, anders kann man XAMPP wohl nicht lernen - probieren geht über studieren.

Du bist auch jemand, der zuerst aus dem Flugzeug springt und sich erst danach nach der Funktionsweise eines Fallschirms erkundigt...

Und wenns in die Hose geht, und ich 100 Sicherheitslücken habe, dann bin ich natürlich schuld - aber auch ihr, weil es keine Hilfe gibt und nur rumgeheult und gemotzt wird.

...und den Piloten dann dafür Verantwortlich macht, dass er dir nicht beigebracht hat zu fliegen wie Superman.

Warum ist es denn sicherer, wenn ich alles als einzelne Komponenten installieren?

Endlich mal eine gute Frage, auf die ich dir auch gerne Auskunft erteile.

Die XAMPP Komponenten haben/geben/sind standardmäßig:
- viel zuviele Module aktiviert. Bei vielen wirst du garnicht wissen, was sie überhaupt tun
- rechtetechnisch unzureichend bis garnicht abgesichert (keine bzw. standardpasswörter gesetzt, die überall im Internet bekannt sind, CGI-Scripte sind überall erlaubt, WebDAV ist aktiviert, etc.)
- viel zuviele Informationen über sich preis, was eine wahre Informationsflut für ungute Menschen ist
- nicht oder nur schwer update-fähig, was das schließen möglicher Sicherheitslöcher praktisch unmöglich macht

Kleines Beispiel: Allein dadurch, dass WebDAV aktiviert ist und nur mit einem Standardpasswort versehen ist ist es möglich, beliebige Scripte auf deinem Server auszuführen. So wird dein Server binnen 3 Sekunden zur Spamschleuder. Dafür gibt es sogar bereits aufs XAMPP-Paket zugeschnittene Scripte im Internet.

Du würdest dich auch ärgern, wenn du was machst, und du keine Hilfe bekommst.

Ich würde mich viel mehr ärgern, wenn mich niemand warnt, was eine solche Software für Auswirkungen haben kann und dann wenig später die Polizei an meiner Tür klingelt.