Hallo Lug!
Da hier einige Apache-Auskenner sind, möchte ich diese Frage hier stellen.
In einem Forum, in dem man auch Dateien austauschen kann, will ich möglichst weige Dateitypen/Endungen ausschließen und trotzdem hohe Einbruchsicherheit gewähren. Bisher habe ich eine .htaccess mit diesem Inhalt:
AddType text/html php php3 phps htm html php4 hdml shtm shtml c cpp pl perl Opions -Indexes -Includes -ExecCGI
Reicht das, damit ein hochgeladenes Programm nicht serverseitig ausgeführt wird? Geht Apache immer nach den Endungen? Brauche ich die zweite Zeile überhaupt?
Thomas
PS: Mein P90 mit 32MB läuft rasend schnell mit Slackware 7.1, Kernel 2.2.25 und IceWM, LaTeX, Pine, Stefans spoolmail ;-), selbstgeschriebenem Dial-In über pppd, cups, mc, xpdf und ein paar Spielen. Als einziges braucht Mozilla mehrere Sekunden zum Laden ;-) Empfehlung für alte Rechner als Surf/Schreibmaschine: Vectorlinux, 150MB Komplettsystem mit Slackware und den Rest selber kompilieren.
On Tue, Nov 04, 2003 at 08:23:44AM +0100, Thomas Schmidt wrote:
AddType text/html php php3 phps htm html php4 hdml shtm shtml c cpp pl perl Opions -Indexes -Includes -ExecCGI
Mir ist nicht klar, was die erste Zeile soll. Er würde jede der angegebenen Endungen dem Browser als HTML verkaufen. Was bestimmt putzig aussieht.
Reicht das, damit ein hochgeladenes Programm nicht serverseitig ausgeführt wird? Geht Apache immer nach den Endungen? Brauche ich die zweite Zeile überhaupt?
Die zweite Zeile bringt Dir die Sicherheit, die Du willst. Natürlich sollte niemand die .htaccess überschreiben dürfen. Besser, Du stellst das in der Config des Servers selbst ein und dazu ein
AllowOverride No
Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann
Hallo.
On Tue, 4 Nov 2003 09:36:09 +0100 Heiko Schlittermann heiko@schlittermann.de wrote:
On Tue, Nov 04, 2003 at 08:23:44AM +0100, Thomas Schmidt wrote:
AddType text/html php php3 phps htm html php4 hdml shtm shtml c cpp pl perl Opions -Indexes -Includes -ExecCGI
Mir ist nicht klar, was die erste Zeile soll. Er würde jede der angegebenen Endungen dem Browser als HTML verkaufen. Was bestimmt putzig aussieht.
Reicht das, damit ein hochgeladenes Programm nicht serverseitig ausgeführt wird? Geht Apache immer nach den Endungen? Brauche ich die zweite Zeile überhaupt?
Die zweite Zeile bringt Dir die Sicherheit, die Du willst. Natürlich sollte niemand die .htaccess überschreiben dürfen. Besser, Du stellst das in der Config des Servers selbst ein und dazu ein
AllowOverride No
Trotzdem würden doch immernoch .php und dergleichen aufgeführt, oder? Müsste da nicht noch ein "SetHandler None" oder "RemoveHandler php" oder sowas kommen?
MfG Frank Benkstein.
On Tue, Nov 04, 2003 at 12:34:17PM +0100, Frank Benkstein wrote:
AddType text/html php php3 phps htm html php4 hdml shtm shtml c cpp pl perl Opions -Indexes -Includes -ExecCGI
Trotzdem würden doch immernoch .php und dergleichen ausgeführt, oder? Müsste da nicht noch ein "SetHandler None" oder "RemoveHandler php" oder sowas kommen?
Ja, das hängt davon ab, was weiter vorne in der Config eingetragen ist.
Vielleicht in SetType text/plain .php
Heiko
lug-dd@mailman.schlittermann.de
-
Frank Benkstein -
Heiko Schlittermann -
Thomas Schmidt