Deutsches Supportforum - OpenPHPNuke

Lade Daten...

Bitte warten

Very Happy	Smile	Sad	Surprised
Confused	Cool	Laughing	Mad
Razz	Embaressed	Crying (very sad)	Evil or Very Mad
Rolling Eyes	Wink	Another pint of beer	ToolTimes at work
I have an idea

Autor
stefan Wohnort: Münster	mal wieder suhosin Geschrieben: 17.02.2009 20:01 Servus, Ihre Domain darf aus Sicherheitsgründen nur unter der Benutzerkennung und den dafür geltenden Benutzerrechten laufen. Andere Einstellunegn würden die Sicherheit des Servers gefärden. Abgesehen davon das der HOSTER mal deutsch lernen sollte ... An dem Punkt habe ich nie etwas anderes behauptet oder gesagt! ... Ein CMS, welches solche Einstellungen erfodert ... Habe ich auch nie so behauptet oder gesagt. Ganz im Gegenteil, wenn alles unter einer Benutzer Kennung läuft php, apache, Webspeicher usw... ist das was ich als 100% richtig ansehe. Ist auch von OPN so gewünscht. Ist hier aber auch nicht anderes eingerichet. suhosin.post.max_vars ist aus meiner Sicht fast komplett sinnlos. Was macht das für einen Sinn wenn ich die max Anzahl der POST Variablen beschränke auf einen sehr kleinen Wert. Damit kann ich max versuchen eine bruce force Attacke auf die Parameter zu erschweren, noch mal nur erschweren aber nicht verhindern. Wenn die Software sauber gebaut ist, ist aber auch dann kein Problem. Evt. kann man sagen das es nicht mehr als 10000 sein sollte um eine Obergrenze zu haben. Aber selbst das ist nicht wirklich nötig. Sorry aber wenn man so eine Antwort gibt dann ist das einfach nur Quatsch und die Leute haben nicht nachgedacht. Ich kenne einen anderen Hoster der ist auch so "Sicherheitsbewusst". Der sperrt einfach alle Ports außer 80 ; 25 ; 110 - mit der Begründung das ja eh nur Angriffe über die anderen Ports kommen. Und ja die Einstellung betrifft die POST Variablen. Ich würde es nicht limitieren - habe es hier auch nicht gemacht. Kleine Anmerkung noch - hier laufen mehr als 5000-10000 Angriffe per Stunde auf OPN ab. [ Diese Nachricht wurde bearbeitet von: stefan am 17.02.2009 20:07 (Originaldatum 17.02.2009 20:01) ] Erst nachlesen, dann nachdenken, dann nachfragen... http://www.catb.org/~esr/faqs/smart-questions.html openPHPnuke Developer [ Diese Nachricht wurde bearbeitet von: stefan am 17.02.2009 20:08 (Originaldatum 17.02.2009 20:01) ]

Gast Unregistrierter Benutzer	mal wieder suhosin Geschrieben: 17.02.2009 18:28 Hallo Stefan, nach der Installation der Module Artikel, Benutzer Adresse, Benutzer Avatar, Benutzer Geburtstag, Benutzer Online, Benutzer Punkte, Benutzer zuletzt Online, Forum, HTTP Referer, Impressum, Mitgliederliste, New Tag, Sitemap, Smilies, Statistiken, Top Statistiken sowie Zuletzt Online kann auch ich keine Menübox mehr erstellen bzw. vorhandene ändern. Bin hier im Forum schnell fündig geworden: www.openphpnuke.info/system/forum/viewtopic.php und www.openphpnuke.info/system/forum/viewtopic.php Darum habe ich gestern meinen Provider mit Verweis auf diese Themen gebeten, die entsprechenden Änderungen für meine Domains zu machen. Heute erhielt ich folgende Mail: Ihre Domain darf aus Sicherheitsgründen nur unter der Benutzerkennung und den dafür geltenden Benutzerrechten laufen. Andere Einstellunegn würden die Sicherheit des Servers gefärden. Ein CMS, welches solche Einstellungen erfodert sollten Sie auch besser nicht einsetzen, da dies in der Szene bekannt ist und auch in der Häufigkeit der Fälle für Angriffe genutzt wird. Zu meinen Kindern würde ich sagen Thema verfehlt, sechs, setzen. Da ich per phpinfo dieselben Werte für suhosin habe wie Flash und mir das folgende nich wirklich hilft. stefan schrieb am 28.03.2008 um 14:54:55 Uhr folgendes: suhosin.post.max_array_depth Typ: Integer Standard: 100 Sollte höher sein suhosin.post.max_vars Typ: Integer Standard: 200 Das Reicht bei weitem an bestimmten Stellen nicht. Sidebox Menü bzw. Braucht 40 Var. + je Menü Eintrag 10 Var würde ich gerne wissen, Welchen Wert für suhosin.post.max_array_depth? Welchen Wer für suhosin.post.max_vars? mindestens sinnvoll sind. Wenn ich das richtig interpretiere, sind diese Einstellungen NUR für die Länge der _SERVER["POST"] zuständig. Vielleicht kann ich meinen Provider (mit dem ich sonst sehr glücklich bin) mit deinen Argumenten überzeugen. Schönen Abend noch Ralf [addsig]

Servus,

Ihre Domain darf aus Sicherheitsgründen nur unter der Benutzerkennung
und den dafür geltenden Benutzerrechten laufen. Andere Einstellunegn
würden die Sicherheit des Servers gefärden.

Abgesehen davon das der HOSTER mal deutsch lernen sollte ...

An dem Punkt habe ich nie etwas anderes behauptet oder gesagt!

... Ein CMS, welches solche Einstellungen erfodert ...

Habe ich auch nie so behauptet oder gesagt. Ganz im Gegenteil, wenn alles unter einer Benutzer Kennung läuft php, apache, Webspeicher usw... ist das was ich als 100% richtig ansehe. Ist auch von OPN so gewünscht. Ist hier aber auch nicht anderes eingerichet.

suhosin.post.max_vars

ist aus meiner Sicht fast komplett sinnlos. Was macht das für einen Sinn wenn ich die max Anzahl der POST Variablen beschränke auf einen sehr kleinen Wert. Damit kann ich max versuchen eine bruce force Attacke auf die Parameter zu erschweren, noch mal nur erschweren aber nicht verhindern. Wenn die Software sauber gebaut ist, ist aber auch dann kein Problem. Evt. kann man sagen das es nicht mehr als 10000 sein sollte um eine Obergrenze zu haben. Aber selbst das ist nicht wirklich nötig.

Sorry aber wenn man so eine Antwort gibt dann ist das einfach nur Quatsch und die Leute haben nicht nachgedacht.

Ich kenne einen anderen Hoster der ist auch so "Sicherheitsbewusst". Der sperrt einfach alle Ports außer 80 ; 25 ; 110 - mit der Begründung das ja eh nur Angriffe über die anderen Ports kommen.

Und ja die Einstellung betrifft die POST Variablen. Ich würde es nicht limitieren - habe es hier auch nicht gemacht.

Kleine Anmerkung noch - hier laufen mehr als 5000-10000 Angriffe per Stunde auf OPN ab.

[ Diese Nachricht wurde bearbeitet von: stefan am 17.02.2009 20:07 (Originaldatum 17.02.2009 20:01) ]

Hallo Stefan,

nach der Installation der Module Artikel, Benutzer Adresse, Benutzer Avatar, Benutzer Geburtstag, Benutzer Online, Benutzer Punkte, Benutzer zuletzt Online, Forum, HTTP Referer, Impressum, Mitgliederliste, New Tag, Sitemap, Smilies, Statistiken, Top Statistiken sowie Zuletzt Online kann auch ich keine Menübox mehr erstellen bzw. vorhandene ändern.
Bin hier im Forum schnell fündig geworden: www.openphpnuke.info/system/forum/viewtopic.php und www.openphpnuke.info/system/forum/viewtopic.php
Darum habe ich gestern meinen Provider mit Verweis auf diese Themen gebeten, die entsprechenden Änderungen für meine Domains zu machen.
Heute erhielt ich folgende Mail:

Ihre Domain darf aus Sicherheitsgründen nur unter der Benutzerkennung

und den dafür geltenden Benutzerrechten laufen. Andere Einstellunegn
würden die Sicherheit des Servers gefärden. Ein CMS, welches solche Einstellungen
erfodert sollten Sie auch besser nicht einsetzen, da dies in der Szene bekannt ist und
auch in der Häufigkeit der Fälle für Angriffe genutzt wird.

Zu meinen Kindern würde ich sagen Thema verfehlt, sechs, setzen.
Da ich per phpinfo dieselben Werte für suhosin habe wie Flash und mir das folgende nich wirklich hilft.
stefan schrieb am 28.03.2008 um 14:54:55 Uhr folgendes:

suhosin.post.max_array_depth Typ: Integer Standard: 100 Sollte höher sein suhosin.post.max_vars Typ: Integer Standard: 200 Das Reicht bei weitem an bestimmten Stellen nicht. Sidebox Menü bzw. Braucht 40 Var. + je Menü Eintrag 10 Var

würde ich gerne wissen,
Welchen Wert für suhosin.post.max_array_depth?
Welchen Wer für suhosin.post.max_vars?
mindestens sinnvoll sind.
Wenn ich das richtig interpretiere, sind diese Einstellungen NUR für die Länge der _SERVER["POST"] zuständig.

Vielleicht kann ich meinen Provider (mit dem ich sonst sehr glücklich bin) mit deinen Argumenten überzeugen.

Schönen Abend noch
Ralf

Moderiert von: stefan, spinne
Forum:	Administration
Sie schreiben eine Antwort zum Thema:	mal wieder suhosin
Gehe zu:	OpenPHPNuke - das Open Source CMS Forum Index