Apache Friends Support Forum

[TheJoggi]

Hallo liebe Community,

seit Jahren arbeite ich passiv mit XAMPP, sprich: Installation, Sicherheitscheck durchlaufen, benutzen.
Jetzt, wo es nur noch das Dashboard gibt, komme ich doch etwas ins Schwitzen.

Wenn ich versuche dem MySQL-User ein Passwort zu geben, mag mich phpMyAdmin und MySQL
plötzlich nicht mehr und auch der ApacheServer lässt sich nicht mehr so ohne weiteres absichern.

Gibt es den Securitycheck gar nicht mehr?

Grüße
TheJoGGi

[Altrea]

Hallo TheJoGGi,

Sicherheitsbedürfnis und Sicherheitsgewinn sind sehr stark abhängig von den Rahmenbedingungen.

XAMPP ist primär für Menschen gedacht, die Anfangen möchten in die Webprogrammierung hereinzuschnuppern aber nicht die Kenntnisse haben Apache, PHP, MySQL etc selbst zu installieren und zu konfigurieren. Es wird also davon ausgegangen, dass XAMPP auf einem lokalen Computer installiert wird (in der Regel durch den hauseigenen Router des Internetanbieters vor Zugriffen von Außen geschützt).
In einem solchen Umfeld sind die Sicherheitsmaßnahmen mit denen XAMPP bereits vorkonfiguriert wird absolut ausreichend.

mit freundlichen Grüßen,
Altrea

[TheJoggi]

Hallo Altrea,

Ich verstehe deine Argumentation, aber wieso wird dann im Dahsboard eine Möglichkeit angegeben, dass MySQL-Passwort
zu setzen, aber es funktioniert danach nichts mehr?
Mir ist klar, dass der Apache da nicht mitspielen will, weil dieser kein MySQL-Passwort vorsieht, aber ich bin da gerade
wirklich sehr skeptisch. Das der Apache nicht direkt für den Live-Betrieb gedacht ist, ist mir auch klar, aber ein Passwort
mehr kann eigentlich kaum schaden.

Grüße
TheJoGGi

[Altrea]

aber wieso wird dann im Dahsboard eine Möglichkeit angegeben, dass MySQL-Passwort
zu setzen, aber es funktioniert danach nichts mehr?

Ich kann leider nichts zu den Gründen sagen, weshalb die XAMPP Entwickler diese Anleitung im Dashboard in dieser Form anbieten.
Letztendlich ist diese Anleitung aber nicht falsch. Der Befehl ändert das root Passwort und MySQL selbst funktioniert damit auch weiter.
phpMyAdmin ist eine von MySQL unabhängig entwickelte Oberfläche. Sie hat keine Ahnung davon, dass du das Passwort geändert hast.
Das heißt, du musst phpMyAdmin mitteilen, wie es sich dann mit MySQL verbinden kann.
Eine vollständigere Anleitung findest du hier: [Q&A] Setting MySQL root password

Mir ist klar, dass der Apache da nicht mitspielen will, weil dieser kein MySQL-Passwort vorsieht, aber ich bin da gerade
wirklich sehr skeptisch.

Apache ist hier komplett aupen vor. Apache interessiert es nicht die Bohne wie man sich an MySQL anmeldet.

[LuisK]

Das System heißt X A M P P
A = Apache
M = MariaDB
Warum also lässt man die Sicherheitseinstellung für Apache einfach fallen ?
Absolut unverständlich, nachdem es jahrelang ging.

[Nobbie]

Warum also lässt man die Sicherheitseinstellung für Apache einfach fallen ?

Sie wurde nicht fallen gelassen, sondern es funktioniert jetzt nicht mehr so vollkommen anders als bei allen anderen Servern der Welt, sondern so, wie es direkt in Apache und MySQL vorgesehen ist. Außerdem hat man eingesehen, dass Passwörter an dieser Stelle eigentlich nicht notwendig sind, weil Xampp ohnehin nur als Entwicklungsumgebung für den localhost designed ist. Stattdessen wurde in der Konfiguration eine Direktive eingebaut, dass der Zugriff auf die administrativen Teile (insbesondere phpmyadmin) von außerhalb des localhost gar nicht erst durchgelassen wird. Somit kommt es gar nicht erst zu einer Passwortabfrage, der Request wird vorher schon abgeschmettert.

Absolut unverständlich, nachdem es jahrelang ging.

Das ist leider genau NICHT der Fall gewesen, ich habe selbst hier sicherlich im mehrstelligen Bereich die immer gleiche Frage beantwortet, warum Xampp nach dem Setzen eines Passworts nicht mehr erreichbar ist. Da ist irgendwo ein Bug drin gewesen, den niemand bis zum Schluss gefunden hat, der bei ganz vielen Anwendern die Installation zerschossen hat, super ärgerlich für alle Beteiligten. Bei manchen lief es einwandfrei, bei anderen war es die Katastrophe.

Insgesamt habe ich persönlich sowieso nie verstanden, wozu das "Feature" in Xampp angeboten wird, denn es hilft Anwendern nicht wirklich. Wenn sie ihre Umgebung nachher Online portieren und dort nicht Xampp antreffen, sind sie hilflos, weil sie dort diese Möglichkeit nicht haben, dort wird das System einheitlich so geschützt, wie es in Apache und MySQL vorgesehen ist. So ist es in Xampp jetzt auch und damit ist es doch viel realistischer umgesetzt als vorher?!