Directory browsing / Admin

[Mediagenie System]

Hallo,

bei der Version 2.0 habe ich noch folgendes entdeckt:
​http://demo.modified-shop.org/tags/modified-2.00/admin/includes/
Verzeichnis ist durchsichtbar. Sicherheitstechnisch wäre es nicht schön.

Ich weiß, dass in der _.htaccess Datei folgendes steht:
# Disable directory browsing (disabled by default as this causes problems on some servers)
#Options All -Indexes

Als Idee könnte man eine index.html oder index.php in alle Verzeichnisse reinlegen, damit directory browsing erstmal deaktiviert wird.

Mit freundlichen Grüßen
Jürgen H.
Mediagenie System UG

[Mediagenie System]

Nachtrag:
Bitte noch Fehlertext ausbessern: (Kodierungsproblem)
Fehler 403: Der Server verweigert die Ausf�hrung.

[Mediagenie System]

view-source:http://demo.modified-shop.org/tags/modified-2.00/admin/includes/application_top.php

<br />
<b>Fatal error</b>: require_once(): Failed opening required 'includes/functions/compatibility.php' (include_path='.:/usr/share/php:/usr/share/pear') in <b>/var//tags/modified-2.00/admin/includes/application_top.php</b> on line <b>86</b><br />

[Torsten Riemer]

Replying to Mediagenie System:

view-source:http://demo.modified-shop.org/tags/modified-2.00/admin/includes/application_top.php

<br />
<b>Fatal error</b>: require_once(): Failed opening required 'includes/functions/compatibility.php' (include_path='.:/usr/share/php:/usr/share/pear') in <b>/var//tags/modified-2.00/admin/includes/application_top.php</b> on line <b>86</b><br />

Kannst du das bitte nochmal genauer erklären, da wir das nicht nachvollziehen können.

Das Problem beim "directory listing" ist, dass der Apache die Direktive "AllowOverride Options" gesetzt haben muss, damit das funktioniert. Es gibt noch Hoster, die das nicht erlauben und bei denen würde der Admin dann überhaupt nicht mehr aufgerufen werde können.
Das ist auch der Grund, weshalb wir im Frontend in der ".htaccess" die Zeile zwar eingefügt, aber entsprechend auskommentiert haben:

# Disable directory browsing (disabled by default as this causes problems on some servers)
#Options All -Indexes

[Mediagenie System]

Datei: admin/includes/application_top.php
Diese Datei hat kein "Direct Access" Schutz. Beim direkten Zugriff bekommt man "Fatal error" Fehlermeldung. Damit es nicht passiert, kann ich eine schnelle Lösung vorschlagen:
Zeile 48-53 zu veändern

// configuration parameters
if (file_exists('includes/local/configure.php')) {
  include('includes/local/configure.php');
} elseif(file_exists('includes/configure.php')) {
  require('includes/configure.php');
} else {
  die( 'Direct Access to this location is not allowed.' );
}

[Mediagenie System]

Jo, deswegen habe ich meine "Idee"-Vorschlag gepostet.

Replying to Tomcraft:

Das Problem beim "directory listing" ist, dass der Apache die Direktive "AllowOverride Options" gesetzt haben muss, damit das funktioniert. Es gibt noch Hoster, die das nicht erlauben und bei denen würde der Admin dann überhaupt nicht mehr aufgerufen werde können.
Das ist auch der Grund, weshalb wir im Frontend in der ".htaccess" die Zeile zwar eingefügt, aber entsprechend auskommentiert haben:

[Volker Strähle]

Wäre etwas wie

if ($PHP_SELF == DIR_WS_ADMIN . "application_top.php"){ die("Du kommst nicht rein"); }

besser als auf eine vorhendene Datei zu prüfen?

Sollte eine Datei admin/includes/includes/configure.php existieren würde man in o. g. Fall durch kommen (und wieder ind er Zeile "require_once (DIR_WS_INCLUDES.'compatibility.php');" scheitern).

Mit require_once (DIR_FS_ADMIN . DIR_WS_INCLUDES.'compatibility.php'); käme der Fehler nicht, macht aber keine Sinn.

[Gerhard Waldemair]

mit einer htaccess im includes Ordner ist alles gut.