Warum install.php löschen? (Joomla & Co)
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
abspecken
anfangen
angreifer
blase
datei
frage
hersteller
inhalt
installation
installieren
machen
parat speicherplatz
phantasie
potentieller angreifer
praktisch ausprobieren
sicherheitsproblem
sonderfall
stellvertretendes beispiel
umbenennen
versuchen
-
Warum soll man die install.php eigentlich löschen? Ich benenne die einfach nur um, z. B. in "install.php.old" und habe die so notfalls immer noch parat. Speicherplatz wird dadurch nicht nennenswert verbraucht, da kann man an vielen anderen Seiten besser abspecken. Entsteht durch umbenennen ein mögliches Sicherheitsproblem?
Gruß -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Benennst du die Datei in xyz.php um, könnte ein potentieller Angreifer die Installation möglicherweise nach wie vor durchführen. Benennst du die Datei in xyz.phps oder xyz.php.old oder ähnliches, kann der Angreifer nicht mehr viel damit anfangen, außer den Inhalt der Datei zu lesen. Dazu muss er aber auch erstmal den neuen Dateinamen kennen.
Hersteller weisen eigentlich nur darauf hin, den Zugriff zur install.php (beispielsweise) zu verhindern. Wie, obliegt deiner Phantasie. Löschen oder umbenennen ist relativ egal, so lange die Datei einfach nicht mehr ausführbar ist.
Beitrag zuletzt geändert: 30.1.2011 7:32:52 von fabo -
infoso schrieb:
Warum soll man die install.php eigentlich löschen? Ich benenne die einfach nur um, z. B. in "install.php.old" und habe die so notfalls immer noch parat. Speicherplatz wird dadurch nicht nennenswert verbraucht, da kann man an vielen anderen Seiten besser abspecken. Entsteht durch umbenennen ein mögliches Sicherheitsproblem?
Gruß
Lösche das installationsverzeichnis (Joomla), das ist viel wichtiger. Die install.php ist wirkunkslos ohne dem Verzeichnis. Wenn Du das Installationsverzeichnis oder die install.php nur umbenennst, kann es von außen u.U. wieder aufgerufen werden und der Angreifer kann Dich mühelos hacken.
Beitrag zuletzt geändert: 30.1.2011 9:18:04 von tom-moeller -
Vielen Dank für die Antworten. :) Gut, die Gründe leuchten mir ein. Bei der nächsten Installation werde ich das auch mal praktisch ausprobieren, ob man z. B. auf "_install.php" und "_install"-Ordner zugreifen und Joomla und Co so überlisten kann. Das hatte ich früher mal so gemacht und leichtsinnig nie getestet, glaube ich. Aber "_" war glaube ich auch ein Sonderfall.
Joomla war jetzt ein stellvertretendes Beispiel, weil mir das hier bei einer Frage eines anderen aufgefallen ist. Aber man hilft ja auch anderen, die Joomla haben, und ich selbst werde es vielleicht auch mal wieder installieren. Ich persönlich nutze eher Wordpress als Framework und blase das auf und versuche mich noch mit Drupal anzufreunden, das es mir aber nicht leicht macht es zu lieben. *g*
Gruß -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage