Wie sind configuratin.php und .htaccess vor einem HTTP-Request geschützt?

jof1 · 25. April 2021

Hallo,

(1)

in diversen Artikeln wird gezeigt, wie z.B. ein .htaccess-Inhalt geschützt werden kann, damit der Inhalt nicht über eine http-Anfrage angezeigt wird.

Wie kann ich mir den Datei-Inhalt der Dateien z.B.

- .htaccess

- configuration.php

über eine http-Anfragen wie http:/ /www.example.org/???.htaccess anzeigen lassen, wenn es denn überhaupt funktioniert?

Ich habe zwar eine Seite über Anfragemethoden, aber komme mit GET usw. nicht wirklich weiter.

- .htaccess ergibt immer 403 - Forbidden bei mir, Schutz in der .htaccess aktiviert oder nicht

- configuration.php ergibt eine weiße Seite. Wenn außerhalb der IP's unten, dann auch 403 - Forbidden

Einen .txt-Inhalt kann ich mir so einfach anzeigen lassen.

Hintergrund: testweise habe ich in der .htaccess-Datei den mittleren Block deaktiviert, aber ich kann mir die genannten Dateien trotzdem so nicht anzeigen lassen.

Code

...
order deny,allow
  deny from all
  allow from 100.100.100.
  allow from 100.100.101.

#<Files ~ ".(txt|html)$|configuration.php|.htaccess|php3-tst.php|robots.txt.dist">
#  order deny,allow
#  deny from all
#</Files>

<Files "robots.txt">
  order deny,allow
  allow from all
</Files>
...

Alles anzeigen

Meine Test-Konfiguration funktioniert so, Dateien im unteren Block werden immer angezeigt, die im mittleren Block nie und über den ersten Block haben nur die IP's Zugang zur Webseite, für die aber die nächsten 2 Blöcke gelten.

(2)

Kennt jemand ein einfaches kostenloses Tool, dass grundsätzliche Schwächen erkennt?

Also, ob irgendein wichtiges Verzeichnis ungewollt aufgelistet werden kann oder eine missbräuchliche url eingegeben werden kann.

Gruß

Re:Later · 25. April 2021

Beide Dateien sind per se geschützt. .htaccess serverseitig. Außerdem, was steht denn drinnen, was gefährlich wäre?

configuration.php kann zwar als eine der wenigen Dateien in Joomla eingelesen werden. Das ist aber nutzlos, da eine PHP-Klasse an deren Werte man nicht dran kommt via Browser.

Zitat von jof1

Kennt jemand ein einfaches kostenloses Tool, dass grundsätzliche Schwächen erkennt?

Die Meisten sagen "Schlangenöl" zu solchen unnötigen Tools. Die anderen lassen sich davon paranoider machen als sie zuvor schon waren, weil ihnen hieroglyphische Emails geschickt werden, nur, weil irgendwer eine "böse URL" ausprobiert, was ja nicht heißt, dass das erfolgreich war.

Und die letzte Gruppe macht damit sein Joomla kaputt und fragt dann hier an, warum dieses oder jenes nicht mehr funktioniert

Sichere dein Backend mit einem .htaccess-Verzeichnisschutz ab.

Für Frontend nimm die Standard-htaccess von Joomla und achte auf Nachinstallationshinweise nach Joomla-Updates, ob du was ergänzen solltest. Natürlich kannst die erweitern. Sehe aber im Normalfall keinerlei Anlass.

JoomlaWunder · 26. April 2021

Ich schütze seit Jahren meine administrator-Verzeichnis mittels Passwort und aktualisiere zeitnah Joomla und die Drittanbieter-Erweiterungen. Wenn man dann noch ein möglicherweise vorhandenes Kontaktformular sicher macht und auch die Benutzerregistrierung deaktiviert, wenn sie nicht benötigt wird, dann hat man schon sehr viel erreicht in Punkto Sicherheit. Bisher hatte ich damit 0 gehackte Seitem und keine Spam-Probleme.

Falls du noch mehr möchtest, schau dir mal die Möglichkeiten an, die "HTTP Security Header" bieten.

Aus Interesse: Hast du mal einen Link zu solch einem Artikel?

jof1 · 26. April 2021

Zitat von JoomlaWunder

...
Aus Interesse: Hast du mal einen Link zu solch einem Artikel?

Muss ich jetzt helfen?

https://docs.joomla.org/Securi…_files_using_.htaccess.3F

Mit deinen Empfehlungen bin ich schon durch, daher habe ich auch meist A+ bei den

"Schlangenöl-Tools" wie :

https://siwecos.de/support/scanner

https://observatory.mozilla.org/

https://securityheaders.com

https://www.ssllabs.com/

https://hstspreload.org/

https://www.checktls.com/TestReceiver

Mich hat nur gewundert, warum ich ohne Schutz der beiden obigen Dateien diese nicht einfach durch den Browser anzeigen lassen kann.

Ich teste gerne meine Einstellung und schaue das vorher/naher Ergebnis an.

Ich muss mich doch etwas mit PHP beschäftigen, denn nur mit einer Zeile in der .htaccess :

#php_flag engine off (Vorsicht )

kann ich die configuration.php ohne Schutz downloaden/betrachten im Notepad.

Also wird die configuration.php nur durch PHP geschützt und der Browser kann nur http.

An die .htaccess komme ich normalerweise nicht mal ohne Schutz ran:

"Forbidden

You don't have permission to access this resource."

Da kümmerst sich bei mir halt Apache drum.

Re:Later · 26. April 2021

Zitat von jof1

"Schlangenöl-Tools" wie :

Na ja. Die tu ich jetzt nicht alle in diese Ecke. Ich dachte bei deiner Frage eher an joomla-interne Pseudo-Firewalls oder Erweiterungen mit denen man Dateirechte und Kram verdrehen kann, irgendwelche Supie-Dupie-htaccess-Einträge schreiben kann oder das Joomla zubombt mit htaccess-Dateien und so Zeugs. Man darf sich dann einfach nicht wundern, wenn Joomla und Erweiterungen nicht mehr so tun wie sie müssen bzw. sollen.

jof1 · 27. April 2021

Zitat von Re:Later

... Ich dachte bei deiner Frage eher an joomla-interne Pseudo-Firewalls oder Erweiterungen mit denen man Dateirechte und Kram verdrehen kann ...

Nene, nur externe, obwohl es auch gute interne gibt!

Zu der .htaccess direktive oben, ist eigentlich schon mal passiert, dass PHP ausgefallen ist bei laufendem Webserver?

Wäre für manche fatal.

Ich probiere gerade aus https://www.joomla-security.de/downloads.html

die Htacces für Joomla! 3.9.x Extended aus.

Nun habe ich das Problem, dass ALLE php-Dateien nicht mehr über die url ausgeführt werden können: error 404.

Außer die index.php

Weiß gerade jemand wie ich ausnahmen einfügen kann, kann ja mal sein, dass ich schnell mal eine php mit Inhalt z.B.

<?php phpinfo(); ?> direkt im Browser ausführen möchte. ... Suche schon eine habe Ewigkeit.

JoomlaWunder · 27. April 2021

Zitat von jof1

Ich probiere gerade aus https://www.joomla-security.de/downloads.html
die Htacces für Joomla! 3.9.x Extended aus.

Leider muss man bei deren Verwendung alle Funktionen sehr genau und regelmäßig überprüfen. Es kann schnell passieren, dass da was geblockt wird. Oft passiert das nach einer Aktualisierung. Dann sucht man nach der Ursache und denkt nicht an die erweiterte .htaccess.

Dann muss man schrittweise vorgehen und die einzelnen Blöcke deaktivieren, dann die einzelnen Zeilen innerhalb eines Blocks usw. Das habe ich ein paar Mal gemacht. Ist mir aber zu zeitaufwendig, so dass ich auf die erweiterte .htaccess verzichte.

Letztendlich muss das aber jeder selber wissen.

jof1 · 27. April 2021

JoomlaWunder, endlich gefunden, unterhalb von

########## Begin - Allow Joomla Update

# mein

eigenen Eintrag für die eigene php einfügen.

# mein ende

Danke, Thema für mich erledigt