allow_url_fopen=on

Dieses Thema im Forum "Web-Programmierung" wurde erstellt von Adrenalinpur, 27.07.2005.

  1. Adrenalinpur

    Adrenalinpur Thread Starter MacUser Mitglied

    Beiträge:
    667
    Zustimmungen:
    0
    Registriert seit:
    07.07.2004
    Hi,

    stellt diese direktive in php 4.3.4 immer noch ein Sicherheitsrisiko dar und kann man diese unbeschadet abschalten?

    Gruß und Dank A.
     
  2. Jakob

    Jakob MacUser Mitglied

    Beiträge:
    1.067
    Zustimmungen:
    21
    Registriert seit:
    05.01.2004
    Ist meines Wissens bei den meisten Providern ohnehin abgestellt.

    Typo3 soll wohl mit ausgeschaltetem ein bisschen straucheln, aber wenn man da [SYS][curlUse]=0 auf 1 setzt geht's auch.
     
  3. Adrenalinpur

    Adrenalinpur Thread Starter MacUser Mitglied

    Beiträge:
    667
    Zustimmungen:
    0
    Registriert seit:
    07.07.2004
    auerhau Jakob, kann es sein daß deshalb mein Mambo nicht mehr läuft?
     
  4. Jakob

    Jakob MacUser Mitglied

    Beiträge:
    1.067
    Zustimmungen:
    21
    Registriert seit:
    05.01.2004
  5. Adrenalinpur

    Adrenalinpur Thread Starter MacUser Mitglied

    Beiträge:
    667
    Zustimmungen:
    0
    Registriert seit:
    07.07.2004
    Danke, aber es lag an was ganz anderem, ganz Doofem :D
     
  6. wegus

    wegus MacUser Mitglied

    Beiträge:
    15.039
    Zustimmungen:
    1.316
    Registriert seit:
    13.09.2004
    Apache nicht gestartet ? :)
     
  7. blacksy

    blacksy MacUser Mitglied

    Beiträge:
    1.800
    Zustimmungen:
    7
    Registriert seit:
    14.12.2004
    Ich wusste bis vor kurzem noch nicht einmal, dass es diese Funktion berhaupt gibt. Als ich allerdings versuchte bei meinem Webspace ein Skript hochzuladen das die RSS-Feeds meines externen Weblogs liest, hatte ich ziemliche Probleme. Klar: fopen kann ohne allow_url_fopen keine Daten fremder Server lesen.

    Wenn man das wenigstens selber wieder anstellen könnte, wäre das ja kein Problem. Aber bei DomainBOX ist es nicht nur global für alle Mitglieder, sondern wird auch noch durch die Firewall des Rechenzentrums hinter DomainBOX vollkommen ausgeschlossen *argh*.

    Das stinkt mir ziemlich, und daher werde ich sehr bald von Domainbox zu 1&1/Puretec wechseln. Bei Puretec ist allow_url_fopen nämlich an, ohne dass das dem prinzipiell guten Ruf von 1&1/Puretec irgend einen Abbruch täte.
     
  8. Hilarious

    Hilarious MacUser Mitglied

    Beiträge:
    2.195
    Zustimmungen:
    5
    Registriert seit:
    25.11.2004
    Jawoll!
    rotfl rotfl rotfl rotfl rotfl
     
  9. Adrenalinpur

    Adrenalinpur Thread Starter MacUser Mitglied

    Beiträge:
    667
    Zustimmungen:
    0
    Registriert seit:
    07.07.2004
    @wegus: ne mysql passwort in phpadmin geändert aber nicht in configuration.php *schäm*

    @blacksy: als es bei mit auf on war - so scheint es jetzt - war es eine sicherheitslücke
     
  10. blacksy

    blacksy MacUser Mitglied

    Beiträge:
    1.800
    Zustimmungen:
    7
    Registriert seit:
    14.12.2004
    Es ist ja auch eine Sicherheitslücke, da - soweit ich es verstanden habe - durch allow_url_fopen in irgendwelchen ganz bestimmten Situationen Hacker über nicht gesicherte oder kaputte PHP-Skripte ihre eigenen Skripte auf deinem Server laufen lassen können. Oder irgendwie so etwas.

    Allerdings scheint es auch genügend Provider zu geben die mit allow_url_fopen sehr gut klarkommen. Die Frage ist also, wie groß die Gefahr tatsächlich ist, die von allow_url_fopen ausgeht :eek:
     
Die Seite wird geladen...

Diese Seite empfehlen