Hallo Oxid User
Oxid Installation verlangt: allow_url_fopen
Mein Provider meint…
“allow_url_fopen” ist seit Mai 2006 gesperrt. Durch unsichere PHP-Scripts lässt sich weiterer Script-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird. Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten. Falls Scripts auf Ihrem Account auf diese Funktion angewiesen sind, kann die Funktion auf Domain-Level aktiviert werden. Falls jedoch entsprechender Schaden durch unsichere Scripts auf Ihrem Account entsteht, welcher im direkten Zusammenhang mit dieser Funktion steht, werden die Aufwandskosten mit Angabe der Log-Auszüge weiterverrechnet
Was muss man hier einstellen ?
Oder ist der Weg über fsockopen auf Port 80 sicher ?
Danke Rene
Hallo Rene,
einen Shop kannst Du nur sinnvoll betreiben, wenn er - zumindest teilweise - nach aussen offen ist. Beispiel: Übergabe von Daten an den Zahlungsdienstleister etc…
Aus diesem Grund arbeiten wir recht eng mit Hosting-Providern zusammen, die beide Aspekte abdecken können, Funktionalität und Sicherheit.
Gruß
Hallo Marco, Danke für deine Antwort
Ein Hosting in Deutschland kommt aus rechtlichen Gründen nicht in Frage…
Die Antwort des Providers (ist ein seriöser Provider) ist aber ziemlich happig…
Falls Scripts auf Ihrem Account auf diese Funktion angewiesen sind, kann die Funktion auf Domain-Level aktiviert werden. Falls jedoch entsprechender Schaden durch unsichere Scripts auf Ihrem Account entsteht, welcher im direkten Zusammenhang mit dieser Funktion steht, werden die Aufwandskosten mit Angabe der Log-Auszüge weiterverrechnet
Ist schwierig das Risiko einzuschätzen…die obigen Hosting Provider können das Problem ja auch nicht aus der Welt schaffen…
Gruss Rene
Hallo Rene,
Ein Hosting in Deutschland kommt aus rechtlichen Gründen nicht in Frage…
ich sehe grad, ein Eidgenosse
Ich verstehe die Problematik. Allerdings ist der Link oben momentan alles, was ich Dir verbindlich in dieser Richtung anbieten kann, auch wenn ein paar Nicht-Deutsche Hosting-Provider dabei sind.
Eventuell hast Du Zeit, Gelegenheit und Lust, heute Abend in Kirchberg, BE mit dabei zu sein?
http://www.oxid-ug.de/events/usergroup-schweiz-google-adwords-optimierung-von-kampagnen/
Dort triffst Du auf jeden Fall auf Leute in Deiner Gegend (im weitesten Sinne), die Dir diesbezüglich helfen können. Ich kann dieses Mal leider nicht dabei sein.
Gruß
Hallo Marco
Gib das doch einmal ein paar Cracks weiter…
Leider tummeln sich noch immer Content-Management-Systeme in der freien Wildbahn, die darauf angewiesen sind, dass allow_url_fopen aktiviert ist.
Wir raten generell von der Verwendung solcher Software ab. Da allow_url_fopen an sich ein unsicheres Konzept aus alten Tagen ist, liegt der Verdacht nahe, dass auch der Rest der entsprechenden Software auf alten Methoden basiert.
Die Alternativen
Das heutige Standardwerkzeug für Verbindungen zu anderen Servern nennt sich cURL und ist selbstverständlich auch auf unseren Systemen installiert. Falls Sie auf der Suche nach guten HTTP-Clients sind, beispielsweise für den Einsatz in einer eigene Applikation, empfehlen wir den Einsatz von Guzzle oder Buzz.
Als nicht Programmierer verstehe ich nur Bahnhof…
Kann man so was auch in OXID implementieren? , damit das Sicherheits Problem mit allow:url_open nicht existiert ?
Allerdings wurde aus Sicherheitsgründen auch die Funktion “allow_url_fopen” standardmäßig deaktiviert. Damit funktioniert mein kürzlich vorgestelltes Skript zum RSS-Feeds auslesen leider nicht mehr. Den Code habe ich auch zum Anzeigen der “Hartware News” in der Sidebar ganz unten auf der Startseite verwendet. Also was tun? Zurück auf die alte PHP-Version und die bessere Performance herschenken? Nein, kommt nicht in Frage. Also musste mein Skript angepasst werden. War sogar deutlich einfacher als ich anfangs dachte.
Anstatt des bisherigen Codes zum Laden des RSS-Feeds
1
$xml =simplexml_load_file('http://www.hartware.net/xml/news.rdf
hier die Lösung mit cURL:
1
2
3
4
5
6
$url = “http://www.hartware.de/xml/news.rdf”;
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$xml_raw = curl_exec($ch);
curl_close($ch);
$xml = simplexml_load_string($xml_raw)
Rene
Hallo Rene,
Du hast nicht etwa Deinen Login für dieses Forum an Deinen Hosting-Provider weiter gegeben?
Leider tummeln sich noch immer Content-Management-Systeme in der freien Wildbahn, die darauf angewiesen sind, dass allow_url_fopen aktiviert ist.
Wir raten generell von der Verwendung solcher Software ab. Da allow_url_fopen an sich ein unsicheres Konzept aus alten Tagen ist, liegt der Verdacht nahe, dass auch der Rest der entsprechenden Software auf alten Methoden basiert.
@Hosting Provider? Ich hatte jetzt ein paar ganz komische Dinge als Antwort auf der Zunge, hab’s aber grad so runter schlucken können. Sollen wir uns vielleicht mal näher dazu unterhalten? Wie? Wann?
Gruß
Möchte hier keine Politische Diskussion…
Wenn es so einfach ist mit allow_url_open Schadcode einzuspielen ist das schon ein Thema:
Gibt es eine Lösung dieses “allow_url_fopen” zu umgehen …scheinbar gibt es Techniken mit [B]cURL[/B]
René
Hallo nochmal,
ich hab mich dazu schlau(er) gemacht. Im Shop selbst ist das an sich kein Problem, weil jeweils sauber mittels quote() escaped wird. Insofern mache ich jetzt einen “bug” dazu auf, der eigentlich ein security feature ist, um zu vermeiden, dass unsaubere Programmierung in Modulen zu Problemen führt:
https://bugs.oxid-esales.com/view.php?id=5633
Danke für den Hinweis!