Hallo zusammen !
Ich nutze bei meinen Servern immer das Apache Modul mod_security. Das 4er Redaxo erzeugt dort eine Handvoll falsche Meldungen im Backend. Könnt ihr bei der 5er Entwicklung darauf Rücksicht nehmen, so das man nicht bestimmte Regeln im mod_security deaktivieren muss ?
Gruß
Exe
Apache Modul mod_security
5 Beiträge
• Seite 1 von 1
Apache Modul mod_security
von execrable » 6. Feb 2012, 21:13
- execrable
- Beiträge: 18
- Registriert: 4. Feb 2012, 12:29
Re: Apache Modul mod_security
von Markus.Staab » 7. Feb 2012, 09:50
Hi Exe,
kannst du mal kurz umreisen was das Modul für dich tut und wo dabei die Probleme mit REDAXO entstehen?
Gruß,
Markus
kannst du mal kurz umreisen was das Modul für dich tut und wo dabei die Probleme mit REDAXO entstehen?
Gruß,
Markus
-
Markus.Staab - Entwickler
- Beiträge: 9781
- Registriert: 29. Jan 2005, 14:50
- Wohnort: Aschaffenburg/Germany
Re: Apache Modul mod_security
von execrable » 7. Feb 2012, 11:36
Hallo Markus !
Das Modul prüft die HTTP Aufrufe inkl. der Daten von POST/GET/HEAD usw. Das Modul versucht Injections oder gefährliche Namensräume auf zu zeigen, wie z.B. "?option=" oder "?include=", meldet Javascript Inhalte bzw. Bausteine oder sogar die klassichen SQL-Übergabeparameter in der URL.
Der Umfang der Prüfregeln ist recht hoch - je nach aktivierten Rulesets. Das Modul kann je nach Wertung einen Aufruf letztlich komplett blocken oder nur mit einer Warnung oder Info in der Logdatei quittieren.
Es gibt nur wenige Anwendungen die von Anfang an sauber mit dem Modul zusammen arbeiten und als Admin muss man dann einige Rules in der Vhosts deaktivieren. Es ist nicht viel Aufwand diese einzelnen Regeln zu deaktivieren und damit die Meldungen zu unterdrücken, nur können Sie einem dann bei der eigenen Programmierung/Schusseligkeit nicht mehr helfen
Wenn jemand mod_security ausprobieren möchte kann das recht einfach, da die meisten Distributionen das Modul im Repository anbieten. Man muss nur meistens die Rulesets manuell einbinden bzw. bei mod_security herunterladen und einbinden.
Das Modul prüft die HTTP Aufrufe inkl. der Daten von POST/GET/HEAD usw. Das Modul versucht Injections oder gefährliche Namensräume auf zu zeigen, wie z.B. "?option=" oder "?include=", meldet Javascript Inhalte bzw. Bausteine oder sogar die klassichen SQL-Übergabeparameter in der URL.
Der Umfang der Prüfregeln ist recht hoch - je nach aktivierten Rulesets. Das Modul kann je nach Wertung einen Aufruf letztlich komplett blocken oder nur mit einer Warnung oder Info in der Logdatei quittieren.
Es gibt nur wenige Anwendungen die von Anfang an sauber mit dem Modul zusammen arbeiten und als Admin muss man dann einige Rules in der Vhosts deaktivieren. Es ist nicht viel Aufwand diese einzelnen Regeln zu deaktivieren und damit die Meldungen zu unterdrücken, nur können Sie einem dann bei der eigenen Programmierung/Schusseligkeit nicht mehr helfen
Wenn jemand mod_security ausprobieren möchte kann das recht einfach, da die meisten Distributionen das Modul im Repository anbieten. Man muss nur meistens die Rulesets manuell einbinden bzw. bei mod_security herunterladen und einbinden.
- execrable
- Beiträge: 18
- Registriert: 4. Feb 2012, 12:29
Re: Apache Modul mod_security
von Markus.Staab » 7. Feb 2012, 14:22
Hi,
klingt für mich jetzt erstmal nach einem ähnlichen Ansatz wie PHPIDS:
addons-f30/rexphpids-intrusion-detection-fur-redaxo-t15569.html
Nun die Frage: Welche konrekten Probleme hast du in der Kombination und wie sollen wir da weiterhelfen/darauf achten?
Gruß,
Markus
klingt für mich jetzt erstmal nach einem ähnlichen Ansatz wie PHPIDS:
addons-f30/rexphpids-intrusion-detection-fur-redaxo-t15569.html
Nun die Frage: Welche konrekten Probleme hast du in der Kombination und wie sollen wir da weiterhelfen/darauf achten?
Gruß,
Markus
-
Markus.Staab - Entwickler
- Beiträge: 9781
- Registriert: 29. Jan 2005, 14:50
- Wohnort: Aschaffenburg/Germany
Re: Apache Modul mod_security
von execrable » 7. Feb 2012, 15:27
Ja genau.
Nur ist PHPIDS deutlich später in der Verwertungskette und ist bei DDOS-Attacken oder Exploits angreifbarer - die haben alle ihre Schwachstellen/Macken.
Ich kann die Tage nochmals das Regelwerk auf einer meiner Domains zurücksetzen und gebe gerne Bescheid was ich so gefunden habe - allerdings nur bei Redaxo 4.x
Gruß
Exe
Nur ist PHPIDS deutlich später in der Verwertungskette und ist bei DDOS-Attacken oder Exploits angreifbarer - die haben alle ihre Schwachstellen/Macken.
Ich kann die Tage nochmals das Regelwerk auf einer meiner Domains zurücksetzen und gebe gerne Bescheid was ich so gefunden habe - allerdings nur bei Redaxo 4.x
Gruß
Exe
- execrable
- Beiträge: 18
- Registriert: 4. Feb 2012, 12:29
5 Beiträge
• Seite 1 von 1
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast
