Basis-.htaccess für WebsiteBaker

[albatros]

Hallo allerseits,

WB genießt bisher ja völlig zu Recht den Ruf, ein sehr sicheres CMS zu sein. Das Thema Sicherheit kann man aber, besonders mit der wachsenden Verbreitung, ja nicht ernst genug nehmen. Ich möchte deshalb vorschlagen, zukünftig WB eine .htaccess mit Basisschutz mitzugeben. Als Diskussionsgrundlag e hier mal der relevante Teil einer Joomla-.htaccess:

Code: [Select]

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out libwww-perl siehe JF
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
Gruß

albatros

[WebBird]

Den Ansatz finde ich gut. Wollte nur erwähnen, daß .htaccess natürlich nur auf Apache-Servern funktioniert, und die vorgeschlagenen Einstellungen voraussetzen, daß die RewriteEngine zur Verfügung steht. (Was nicht Standard ist.) Man kann also nicht davon ausgehen, daß sie immer und überall "zieht". Dessen muß man sich bewußt sein.

Insofern finde ich es nach wie vor wichtig, daß auch im WB Core einiges für die Sicherheit getan wird. (Z. B. Standardprüfungen für Formulardaten, Stichwort Form Validator.)

[albatros]

Hallo Bianka,

Deine Einwände (Apache, mod_rewrite) sind mir natürlich richtig. Ich kam darauf, weil ja bisher eine htaccess.txt schon als Beispiel für mögliche verwendungen dabei ist. Die könnte man mit den nötigen Erklärungen doch durchaus um den Bereich Sicherheit erweitern. Und selbstverständlich soll das nur eine Ergänzung der Sicherheit bewirken, vielleicht auch eine zusätzliche Sensibilisierung der User bringen. Man muss das ja nicht zwingend nutzen.

Viele Grüße

Uwe

[Ralf Hertsch]

Hallo Uwe,

ich finde deine Anregung sehr gut.

Wünschenswert wäre, wenn es eine Erklärung zu den Einträgen gäbe, Kommentare wie

Code: [Select]

# Block out any script trying to base64_encode crap to send via URL

"Alle Scripts aussperren, die versuchen Scheißdreck zur Basis 64 zu kodieren und als URL zu verschicken" erschließen sich mir nicht wirklich und ich denke, damit stehe ich nicht alleine im Wald 

Eine Sensibilisierung ist glaube ich nur zu erreichen, wenn die Anwender auch verstehen warum sie etwas tun oder lassen sollten...

Gruß
Ralf

[WebBird]

@Uwe: Aber sicher, ich stimme Dir voll und ganz zu. Wollte auch nur auf die kleinen Vorbehaltsklauseln aufmerksam machen.

[albatros]

damit stehe ich nicht alleine im Wald

Zwei Männlein stehn im Walde... 

@Bianka: das hatte ich auch durchaus positiv aufgefasst. 

[StudioVerlag]

# Block out any script trying to base64_encode crap to send via URL

Was das im Einzelfall bewirkt, kann man sich ausmalen.
Dem möchte ich mich zumindest nicht unterwerfen.
Wer Sicherheit will, legt sich ordentlichen Host und ebenso ein sicheres CMS zu, und gut ist's.

Soll sich Joomla gehackt legen.

Wenn ausreichend begründet, kann man allerlei. Nur weil Joomla in Sachen Sicherheit besonders oft unangenehm auffällt, müssen andere CMS sich nicht zu Schrott verbiegen.

Ein auf PHP basierendes CMS muß auf JEDEM Server laufen. Die Sicherheit ist auf der PHP-Seite zu gewährleisten.

Gruß, Hans>NUL