Verzeichnisse - Zugriff verweigern

[tingel]

Hi,

 

Konfiguration:

Installiert ist PrestaShop 1.4.3 auf einem MS IIS 6.0 (Suboptimal, ich weiß, lässt sich aber leider nicht ändern)

 

Ist es nötig einzelne Verzeichnisse des Shops vor Zugriff zu schützen (wie z.B. bei .htaccess: Deny from all) um zu verhindern, dass Dateien mit z.B. http://domain.de/sho...odules_list.xml aufgerufen werden können oder besteht hier kein Sicherheitsrisiko?

 

Falls ja, welche sollten geschützt werden oder sollte jedes Verzeichnis bzw. der ganze Shop geschützt werden?

 

Nachdem ich gesehen habe das die mit der .htaccess Generator-Funktion im backend auf einem Apache erzeugte Datei sich nur um URL Rewriting, Optimierung und 404 Seite kümmert bin ich mir nicht mehr sicher ob die Verzeichnisse überhaupt geschützt werden müssen.

 

Bezüglich URL Rewriting und 404 Seite - gibt es da auch Möglichkeiten, dies auf einem IIS zu realisieren, wenn ja, wie?

 

Danke schonmal!

[guest*]

Bitte Forumskategorien beachten. Für Fragen bezüglich der Konfiguration und Nutzung von Prestashop gibt es eine eigen Forumskategorie. In die Kategorie Generelle Fragen gehören nur Fragen hinein, die keiner anderen Kategorie angehören.

[guest*]

Also zunächst: es gibt keine .htaccess auf einem IIS. Du meinst eine web-config vermutlich. Diese ist aber nur für den mod-rewrite zuständig. Du musst dir das Umschreibe-Tool holen, welches .htaccess-Anweisungen in eine XML umschreiben. (IIS Manager - dort ist so ein Tool integriert)

Zugriffsschutz/Schreibrechte werden auf einem Windows-Server auf einer ganz anderen Ebene, nämlich im Root geregelt. CHMOD greift hier nicht, du kannst also keine Rechte setzen die für einen Linux gesetzt werden.

 

Im Grunde ist kein Server 100% sicher. Ich habe mindestens alle 2 Wochen eine Hacker-Attacke auf mein Netzwerk.

 

Wie du deinen IIS sicher machst, da bin ich überfragt. Ich habe nach einem Jahr Kampf damit den Kampf aufgegeben und bin wieder auf Apache umgestiegen. Mir ist es auf den Nerv gegangen, dass alles was ich nachträglich installieren musste (neue Module) oder auch aktivieren, immer wieder die Rechte neu gesetzt werden mussten. Abgesehen davon, dass PS nicht so toll drauf läuft (Skripthänger, DB-Ausfälle).

 

IIS ist wirklich nur für MS-Anwendugnen wirklich gut ausgelegt. Alles andere dort laufen zu erzwingen ist nur mit erheblichen Problemen zu bewerkstelligen. Ich weiss MS-Affiktionierte hören so etwas nur ungerne, ist aber leider Fakt.

[tingel]

Erstmal sorry - gehört natürlich zur Konfiguration.

 

Ja mir ist klar, dass es am IIS keine .htaccess gibt. Wollte das nur zwecks Vereinfachung anführen, da ich aktuell noch gar nicht weiß wie man so etwas auf einem IIS bewerkstelligt. Der Shop wurde vom Shopbesitzer auf einem IIS gehostet, kann ich im Moment leider nicht ändern...bis jetzt läuft aber noch alles relativ stabil.

 

 

Ich versuch nochmal meine primäre Frage zu formulieren:

Auf einem Apache würde ich, abgesehn von der Rechteverwaltung, eventuell in einzelne Verzeichnisse .htaccess Dateien (Order deny,allow Deny from all) legen um zu verhindern, dass man im Browser durch Eingabe der URL dieses Verzeichnisses Dateien aufrufen kann.

 

z.B. http://www.domain.de/shop/config/modules_list.xml lässt sich im Browser aufrufen und es wird die Datei modules_list.xml angezeigt, lege ich jedoch eine .htaccess Datei in /shop/config kommt statt der Datei "Zugriff verweigert".

 

Meine Frage: Ist es, unabhängig vom verwendeten Server, aus sicherheitstechnischer Sicht nötig Verzeichnisse im Shop so zu schützen - wenn ja welche? oder alle?

[guest*]

Noch einmal. So ein System gibt es nicht, wenn du einen IIS verwendest. Die Archritektur eines IIS ist ganz anders aufgebaut. Eine .htaccess kannst du dort garnicht verwenden. Er kennt so eine Datei nicht.

Rechtevergabe ist bei einem IIS ganz woanders und nicht durch CHMOD und .htaccess steuerbar.

Rechtevergabe ist beim IIS eine Instanz höher nämlich im Root des Servers. Du kannst also CHMOD und .htaccess komplett ignorieren.

Und nein der Server wird dadurch nicht anfälliger für Attacken. Er hat eine andere Struktur und erkennt die Apache rules garnicht.

 

Einfach installieren und das war es. Zugriffsschutz auf einzelne Ordner oder so gibt es hier nicht. Der Server soll aber so abgesichert sein, dass keiner auf den Root des Server Zugang hat. Die Minimalanforderungen für das Betreiben eines Servers solltest du schon einhalten. Gilt für jede Typ von Server. Egal ob Apache, IIS oder GNIX

[guest*]

Ach ja eines habe ich noch vergessen. Damit mod_rewrite funktioniert musst du natürlich die .htaccess im Root des Shops, also generiert unter Toold -> Generator -> .htaccess natürlich in eine web.config umschreiben, sonst funktioniert die Weiterleitung der Links nicht. Diese Tool findest du im IIS Manager. Dort gibt es ein Sub-Tool wo man das damit machen kann.

[tingel]

Ok, dann belasse ich es dabei. Meine Sorge war nur das man durch das aufrufen von Dateien über den Browser irgendwie an nützliche Infos kommen könnte...mir würde zwar spontan keine wertvolle Info einfallen, da es sich ja eh nur um .php's handelt die dann nicht ge-echo-d werden und um Bilder, aber man weiß ja nie...

 

Ok, danke - von MS gibt es dafür statt mod_rewrite ja das IIS URL Rewrite 2.0 Tool glaub ich. Aber das ganze betrifft nur friendly URLs oder? d.h. ich kann mir das ganze mit Rewrite Tool und web_config auch sparen, wenn ich auf friendly URLs verzichte

[guest*]

Ja, diese .htaccess, für die friendly URL's und diese solltest du zwingend aktivieren, generierst du mit dem Generator aus dem BO. Diese .htaccess musst du im Root des Shops als umgeschriebene web.config hinterlegen. Beachte aber bitte auch, dass einige Module die .htaccess abändern sobald sie installiert sind. Du musst also, obwohl sie für ISS nicht lesbar und wirksam ist auch immer am Server im Shop-Root parat halten. Sobald ein Modul eine Regel ändert, musst du diese dann auch in die web.config übernehmen. Das betrifft aber natürlich nur das Modul mod-Rewrite. Es gibt einige Module die mod_rewrite benötigen um neue Regeln zu schreiben, nicht nur friendly-URL's.

Wie du siehst, wirst du mit IIS immer wieder nacharbeiten müssen... Guter Rat von mir: überlege es dir wirklich sehr gut, ob du PS auf einem IIS laufen lassen möchtest. Mit Apache hast du weniger Probleme.

[tingel]

Im Moment laufen eigentlich schon fast alle benötigten Module ordnungsgemäß - anscheinend auch ohne mod_rewrite bzw. IIS URL Rewrite tool...

Also sollte es zu keinen Problemen mit Modulen kommen und man auf friendly urls verzichten kann, ist es dann trotzdem nötig diese zu aktivieren (also htaccess umzuschreiben und das URL Rewrite tool zu aktivieren), weil du schreibst "zwingend aktivieren" ?

[guest*]

Seo-mäßig sind friendly URL zwingend. Frage ist: möchtest du in den Sumas gut positioniert sein, oder nicht. Soll der Shop gut verkaufen ? Dann ist ein gutes SEO, wo die friendly URL's schon mal eines der wichtigsten Rolle spielen ein Muss.

Die Frage kannst du dir aber auch selbst beantworten.

Was glaubst du findet besser zu deinem Shop ? deine domain/835-name-deines-artikels.html ODER nicht friendly deine domain/product-id?=835.html. Natürlich der erste, wenn der in der Suchmaschine angegeben wird: also jemand sucht - name deines artikels.

Es wird kaum jemand nach product-id?=xy suchen das nichts aussagend ist.

Artikel über SEO gibt es genug im Netz. Suche im Google danach.

[tingel]

Der Einfluss von friendly url in Bezug auf SEO ist mir bewusst. Ich wollte nur wissen, ob es abgesehn davon noch Nachteile ohne rewrite gibt, aber das wäre ja jetzt alles geklärt.

 

Danke nochmal