Server umstellen auf globals_on

  • Thread starter Thread starter bal-kes
  • Start date Start date
B

bal-kes

Guest
Hallo,

zunächst würde ich gerne wissen was
-globals_on
-globals_off ganz genau bewirken?

Hier im Forum wird des öfteren geschrieben das der Server auf globals_off sein sollte, wegen den Hackern.

Nun gut. Aber dennoch weiss ich nicht was diese bewirken.

Habe einige Scripte wie zb. Pageranking, Erotik contents und mehr die aber globals_on fordern. Bei Joomla kann man das sogar im php das globals_on schreiben. Würde aber trotzdem nicht klappen da der Server generell auf globals_off ist.

Also müsste ich den Server umstellen.

Diese müsste man über SSH Zugang mit putty oder dem SSH Secure client tun. Wobei ich diesen Weg immer gerne meiden will da ich keine Ahnung über SSH habe...(schade das sowas nicht alles über Plesk läuft)

Ich bin bei S4y mit openSUSE 10.1 und Plesk 8.2

Kann mir jemand hier die befehle schritt für schritt beschreiben wie ich per ssh die global einstellung sehen kann und diese abändern kann.


Danke im Vorraus.

P.S: Bitte erschlagt mich nicht. Habe die Suchfunktion benutzt aber wenig Info.
 
Last edited by a moderator:
Wenn ich das richtig interpretiere, geht es um die register_globals Funktion von PHP. Was das ist, ist ziemlich einfach erklärt:

Wenn register-globals auf off steht, dann werden alle Variablen, die du in der Browserzeile eingibst, in die
PHP: 
$_GET
Variable geschrieben. Sie sind nur über diese Variable erreichbar. Eine Anfrage, wie beispielsweise
Code: 
http://www.domain.tld?variable=1&anderevariable=2
würde also ein Array in der GET-Variable hervorrufen, wo due die beiden Werte abrufen kannst. Das heißt, dass
PHP: 
echo $_GET[variable];
also 1 ausgeben würde.
Ist register-globals hingegen auf on, so könntest du das gleiche ergebnis bekommen, indem du einfach
PHP: 
echo $variable;
eingibst.

register-globals sollte immer auf off stehen, das es eine etwas größere Sicherheitslücke darstellt. Sind Variablen im Skript nicht sauber gesetzt oder initalisiert, so kann jemand Code in deine Skripts einschmuggeln, was sehr unangenehm sein kann.

Zum Schluss bleibt nur zu sagen, dass wenn du dich mit der Shell nicht richtig auskennst, und deinen Server nur via Plesk administrierst, dass du dir dann überlegen solltest, ob du dir nicht jemanden suchst, der das kann. Denn Plesk ist nicht allmächtig, und auch kein Administrationstool. Man muss den Server per Hand absicher, und aktuell halten.

Gruß Mordor
 
@Mordor wow noch so spät wach und saubere antwort.. alle Achtung Hut ab.


erstma danke dafür.

Ich wusste nicht wie schwer das sein kann einen eigenen Server zu administieren. Mit Plesk ist bei mir kein Problem. Aber trotzdem bereue ich das nicht... :-) ..fast Freiheit

Ich weiss auch nicht wie ich jemanden suchen soll der den Server sicher einstellt. Die Kosten für diese Person ist mir auch unbekannt.

Kann als gegenleistung Platz auf dem Server geben und alle Funktion in Plesk ohne Beschränkungen dazu. Keine ahnung ob das ausreicht. Vielleicht gibt es Interessenten die darauf lust haben. Auch keine Ahnung wie lange der Aufwand ist.

Kurz nochmals auf mein Problem zu kommen:

Verstehe ich das richtig.
Soweit die Php Scripte in Ordnung sind(ohne böse codes) kann auch nichts passieren wenn der Server auf global_on ist. Richtig?

Andersrum:

Könnte man nicht die Scripte umbauen so das es auch mit globals_off läuft?

gruss

gökhan
 
bal-kes said:
Soweit die Php Scripte in Ordnung sind(ohne böse codes) kann auch nichts passieren wenn der Server auf global_on ist. Richtig?
Click to expand...
Nicht ganz. Deine Scripte brauchen keinen "bösen Code" zu enthalten. Der kann bei schlecht oder falsch initialisierten Variablen (einige Joomla-Addons neigen dazu) direkt über die URL eingeschleust werden und ganz bösen Schaden anrichten, für den Du verantwortlich bist.


bal-kes said:
Könnte man nicht die Scripte umbauen so das es auch mit globals_off läuft?
Click to expand...
Das ist prinzipiell möglich, jedoch dürfte der Aufwand je nach Ausmaß der Scripte entsprechend gross sein.

-W
 
scripte umschreiben wird wohl viel kosten...

also doch auf scripte zugreifen die auch mit global_off arbeiten.

Trotzdem würde ich gerne die Schritte (befehle) für die Überprüfung haben auf was mein Server nun eingestellt ist.

Oder stellt S4Y schon automatisch auf globals_off ?
 
Hi,

erstell auf deinem Server eine PHP-Datei mit folgendem Inhalt:
PHP: 
<?php phpinfo(); ?>

Das sollte dir verraten, wie das derzeit eingestellt ist.


-W
 
Ausserdem würde ich dir dringend raten, dich auf Linux fit zu machen.
Zum einen gibt es da ziemlich gute Literatur, und zum anderen einige nette Internetseiten, die einem das näher bringen.
 
You must log in or register to reply here.
Back
Top