Installation v1.1 (alpha)

Morpheus · Beitrag von **Morpheus** » Di 28. Okt 2014, 12:18

War die Alpha2 jetzt eigentlich so gut, daß nix mehr kommt? Kann eigentlich nicht sein.

Mmmh, tja, ich weiß nicht wie ich es sagen soll

Ja, sieht echt so aus!!! Tolle Arbeit

Edit: Vielleicht kann ja Creativcat mal einen Blick auf das Thema von unten mit den Templates werfen!

Beitrag von **shadowcat** » Di 28. Okt 2014, 12:19

Hat denn schon jemand die globalen Headerdateien und die Short-URL-Geschichte getestet? Zumindest letztere dürfte IMHO nicht wirklich funktionieren.

Beitrag von **shadowcat** » Di 28. Okt 2014, 12:29

Ich hab das Mojito gerade repariert, indem ich das aus 1.0.4 genommen habe.

Beitrag von **shadowcat** » Di 28. Okt 2014, 12:46

shadowcat hat geschrieben:Zumindest letztere dürfte IMHO nicht wirklich funktionieren.

Tut auch nicht.

Mal ein paar Fragen dazu:

* Benutzt Ihr schon eine .htaccess im BC-Verzeichnis? Wenn ja, würde die derzeit überschrieben. (Sofern die Zugriffsrechte es zulassen.)
* Ich habe mal ein paar Infos zu Möglichkeiten eingesammelt, eine Webpräsenz mittels .htaccess abzusichern. Das mag Seiteneffekte haben, die ich nicht einschätzen kann. Wollt Ihr das mal testen? Soll das dann per Default da rein, oder nur als Eintrag im Wiki?

Morpheus · Beitrag von **Morpheus** » Di 28. Okt 2014, 12:59

[Antwort on]
- Nein benutze ich noch nicht, will ich aber.
- Ich will immer testen
- Sicherheit geht vor, deswegen denke ich als default und ins Wiki als Erklärung
[Antwort off]

Aber diese Woche schaffe ich das nicht mehr

Beitrag von **shadowcat** » Di 28. Okt 2014, 13:00

Code: Alles auswählen

# deny access to some specific files
<Files ~ "^.*\.(LOG|log|bak|bk|LCK|txt|TXT)$">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>
# Disable the Server Signature
ServerSignature Off
# Rewrite Engine
RewriteEngine On
########## Begin - File injection protection, by SigSiu.net
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]
########## End - File injection protection
########## Begin - Query string attacks
RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]
#proc/self/environ? no way!
RewriteCond %{QUERY_STRING} proc\/self\/environ [NC,OR]
# SQL injection attacks
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark|or|if).* [NC,OR]
# reference to localhost/loopback/127.0.0.1 in the Query String
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
# use of illegal or unsafe characters in the Query String variable
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]
RewriteCond %{QUERY_STRING} (base64_encode|mosconfig) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
RewriteRule .* - [F]
########## End - Query string attacks

# Prevent use of specified methods in HTTP Request
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
# Block out use of illegal or unsafe characters in the HTTP Request
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
# Block out use of illegal or unsafe characters in the Referer Variable of the HTTP Request
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Block out use of illegal or unsafe characters in any cookie associated with the HTTP Request
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Block out use of illegal characters in URI or use of malformed URI
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]
# Block out  use of empty User Agent Strings
# NOTE - disable this rule if your site is integrated with Payment Gateways such as PayPal!
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
# Block out  use of illegal or unsafe characters in the User Agent variable
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteRule ^/page/(.*).php$ /$1/ [R=301,L]

Dahinter käme dann der Teil mit den Short URLs.

DestinationMuc · Beitrag von **DestinationMuc** » Di 28. Okt 2014, 13:04

Man könnte es ja per Default komplett dichtmachen und in die Wiki aufnehmen und im Adminbereich (später mal) die ein oder andere Option abschalten können.

Beitrag von **shadowcat** » Di 28. Okt 2014, 13:12

Naja, ich bin auch kein .htaccess Spezialist und kann nicht wirklich einschätzen, wie sicher das dann wäre. Es ist ja auch nicht der richtige Weg, so zu tun, als würde man es per Default "sicher machen", wenn man gar nicht weiß, ob das zutrifft.

Daher würde ich das eher erst mal zum Test ins Wiki oder hier ins Forum stellen und schauen, was an Rückmeldungen kommt. Ich muß auch mal über den Tellerrand schielen, das andere CMS an der Stelle so treiben.

Wenn überhaupt.

Morpheus · Beitrag von **Morpheus** » Do 30. Okt 2014, 10:32

Hat denn schon jemand die globalen Headerdateien und die Short-URL-Geschichte getestet? Zumindest letztere dürfte IMHO nicht wirklich funktionieren.

Ja, hast Recht! Funktioniert nicht. Nach dem Auswählen z.B. Slimbox

kommt:

: SETTINGS.jpg (37.35 KiB) 4453 mal betrachtet

Beitrag von **shadowcat** » Do 30. Okt 2014, 10:51

Hey, na immerhin hab ich den Fehler abgefangen und liefere eine brauchbare Info.

Ich liefere Dir gleich mal den Eintrag.

BlackCat CMS Forum

Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)