Gelöst Sicherheit:.../admin/includes/modules/jtlwawi_connector/ kann über Browser geöffnet

Gambionike

Gut bekanntes Mitglied
12. Dezember 2008
157
4
Hallo liebe JTL Gemeinde,

ich habe eine Frage zur Sicherheit. Ist es als unproblematisch einzustufen, dass die Seite xxx/admin/includes/modules/jtlwawi_connector/ über den Browser aufgerufen werden kann? Ich habe das mal bei anderen JTL-Wawi nutzern überprüft, da geht das nicht. Bei denen sind die Rechte auf dem Server wohl anders gesetzt. Das möchte ich auch. Wie muss ich die Rechte verändern, dass ein Zugriff von außen so nicht mehr möglich ist UND, dass die Synchronisation mit der Wawi dadurch nicht gestört wird?

Vielen Dank,

eure Gambionike.
 

reneromann

Sehr aktives Mitglied
31. August 2012
2.135
5
AW: Sicherheit:.../admin/includes/modules/jtlwawi_connector/ kann über Browser geöff

Ich schätze, dass da eine .htaccess-Datei fehlt...

Schau einfach mal in die Anleitung von deinem Connector rein. Der Aufruf auf der PHP-Dateien muss möglich sein, das Verzeichnis-Listing nicht.
 

Gambionike

Gut bekanntes Mitglied
12. Dezember 2008
157
4
AW: Sicherheit:.../admin/includes/modules/jtlwawi_connector/ kann über Browser geöff

Hallo Reneromann,

vielen Dank für den Tipp. Hast du eine Ahnung, wie die htaccess-Datei für den Shop aussehen müsste, um den Adminbereich vom Browser-Zugang her zu unterbinden? Hat das eventuelle Auswirkungen auf die Synchronisation, wenn ich da was ändere. Vielleicht ist es ja auch kein Sicherheitsrisiko, wenn man Zugriff auf das Vrerzeichnis-Listing hat, dann könnte alles so bleiben wie es ist.
 

reneromann

Sehr aktives Mitglied
31. August 2012
2.135
5
AW: Sicherheit:.../admin/includes/modules/jtlwawi_connector/ kann über Browser geöff

Na ja - ein Sicherheitsrisiko ist das Verzeichnis-Listing schon. Immerhin sieht der User dann, was alles drin liegt (und kann evtl. auch einfacher einen Angriff starten).
Die .htaccess-Datei sollte(!) bei der Connector-Install dabei sein - und wenn nicht, dann dürfte in der .htaccess nicht viel mehr drin stehen als die VZ-Auflistung zu unterdrücken.

By the way: die VZ-Auflistung sollte standardmäßig auf dem Server/Webspace deaktiviert sein - nur für Ordner, die dies erfordern, sollte man das aktivieren.
 

Hansen

Aktives Mitglied
16. August 2011
63
0
AW: Sicherheit:.../admin/includes/modules/jtlwawi_connector/ kann über Browser geöff

Hallo Gambionike,

ich würde in das Dokumenten-Root-Verzeichnis eine .htaccess legen, bzw die Enthaltene ergänzen mit folgendem Inhalt:

Options -Indexes

oder

Options All -Indexes

damit werden alle Verzeichnisinhalte nicht mehr aufgelistet und es gibt einen Server-Error 403.

Gruß Hansen
 

Gambionike

Gut bekanntes Mitglied
12. Dezember 2008
157
4
AW: Sicherheit:.../admin/includes/modules/jtlwawi_connector/ kann über Browser geöff

Hallo reneromann, guten Morgen Hansen,

habt vielen Dank für eure Statements und Tipps. Ich habe die htaccess mit "Options -Indexes" angepasst und nun wird die Verzeichnisstruktur nicht mehr angezeigt. Genau so wollte ich das haben.

Ich wünsche euch noch einen schönen Tag, und weiterhin viel Spaß mit JTL-Wawi

Gruß

Gambionike
 
Du musst Dich einloggen oder registrieren um hier antworten zu können.
Ähnliche Themen
Titel Forum Antworten Datum
Neu Gehosteter Shop nicht mehr aufrufbar und auch kein admin-Login mehr möglich JTL-Shop - Fehler und Bugs 3
Neu Admin-Bereich - automatisches ausloggen nach kurzer zeit (ungewollt) Allgemeine Fragen zu JTL-Shop 0

Ähnliche Themen

Top Bottom