+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Sonstiges (https://www.mybb.de/forum/forum-1.html)
+--- Forum: Programmierung (https://www.mybb.de/forum/forum-32.html)
+--- Thema: htaccess und sicherheit des boardes (/thread-29846.html)
htaccess und sicherheit des boardes - hkkp - 04.06.2014
Code:
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [L,R=301]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} (.*)urlx=(.*) [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\(|\)|<|>|'|"|\?|\*|%%|&%%|&"|").* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(execute|exec|sp_executesql|request|insert|union|declare).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(drop|alter|char|cast|convert|meta|truncate).* [NC]
RewriteRule ^.* - [F,L]habe folgenden Code gefunden und jener funktioniert auch. also das board läuft und ich selber konnte noch nichts iwie feststellen.
was brauche ich davon explizit, wenn ich mein forum hoste, also keinen eigenen server habe? Danke
RE: htaccess und sicherheit des boardes - StefanT - 04.06.2014
(04.06.2014, 02:38)hkkp schrieb: was brauche ich davon explizitGar nichts? Die Muster sind so unspezifisch, dass sie selbst bei einer Sicherheitslücke vermutlich nichts nützen.
RE: htaccess und sicherheit des boardes - hkkp - 04.06.2014
Code:
php_value arg_separator.output ;
php_value session.use_trans_sid 0
php_value arg_separator.output &haben diese einträge negative einflüsse auf das board? quelle
zumindest sind diese einträge, bis auf einer, verantwortlich dafür, dass das board bzw. viele seiten davon valide ist.
RE: htaccess und sicherheit des boardes - StefanT - 04.06.2014
Die Verwendung dieser Optionen ist sinnlos, das MyBB verwendet diese gar nicht.
RE: htaccess und sicherheit des boardes - hkkp - 04.06.2014
Klar, aber mir hat es zum Beispiel bei Tapatalk geholfen. Aber die kann man verwenden, ohne das irgendetwas passiert? Denn wenn myBB diese eh nicht verwendet, dann dürfte dies ja gehen.
RE: htaccess und sicherheit des boardes - StefanT - 04.06.2014
(04.06.2014, 18:48)hkkp schrieb: Klar, aber mir hat es zum Beispiel bei Tapatalk geholfen.Tut mir Leid, hellsehen kann ich nicht. Was meinst du damit?
Ich würde von der Verwendung abraten, solange du keinen besonderen Grund hast, warum du es unbedingt brauchst...
RE: htaccess und sicherheit des boardes - hkkp - 04.06.2014
Der Grund ist einfach, dass dadurch zum Beispiel Tapatalk valide wird und somit die ganze Seite valide ist. Zumal der Validator eben diese Hinweise gibt. Siehe obigen Link.