Sicherheitsrisiko -> AllowOverride All

[Jo Ke]

Hallo zusammen,

ist das ein Sicherheitsrisiko wenn ich "AllowOverride" auf "All" setze?
Es bedeutet doch nur, dass ich mit einer .htaccess "Overrriden" () kann, oder? Es sollte also kein Thema sein?

Gruß & Dank!
Jo Ke

 

[ParoX]

Wenn Du niemandem innerhalb Deiner Applikation erlaubst .htaccess Dateien hochzuladen, sollte es zu keinen Sicherheitsrisiken kommen.
Aber natürlich ist es immer besser, die AllowOverride Direktiven auf das benötigte Minimum zu setzen - sicher ist sicher.

 

[Jo Ke]

Hallo,

das kann doch nicht so schwer sein... Ist es aber anscheinend doch.

Ich habe in mein Verzeichnis www.server.de/tmp eine .htaccess hinein gelegt, in der dieses drin steht:

Options +Indexes

Dann habe ich in der httpd.conf des apache diesen Eintrag geändert:

# forbid access to the entire filesystem by default
<Directory />
    Options None
[COLOR="Red"]    AllowOverride Options
#   AllowOverride None[/COLOR]
    Order deny,allow
    Deny from all
</Directory>

# use .htaccess files for overriding,
AccessFileName .htaccess
# and never show them
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

Aber leider sagt er mir im error_log weiterhin:

[Sat Sep 16 19:08:30 2006] [error] [client 81.49.222.40] Directory index forbidden by Options directive: /srv/www/htdocs/tmp/

Im Browser erhalte ich einen 403 Fehler.

Ich habe auch schon mal "Options None" auf "Options All" gesetzt aber leider ohne Erfolg.

Ich mache doch irgend etwas falsch, oder?

Gruß
Jo Ke

 

[Huschi]

Dann habe ich in der httpd.conf des apache diesen Eintrag geändert:

Wahrscheinlich wird AllowOverride noch mal woanders gesetzt.
Durchsuche die gesammte Apache.conf.

huschi.