Symlinks

**tab** · 03.08.2014, 11:46

Aus aktuellem Anlass, da uberspace seine Symlinks policy aus Sicherheitsgründen geändert hat, frage ich mich jetzt gerade ob (falls ja, welche?) das Auswirkungen auf die Nutzung von composer in Contao hat.

Wird die Einstellung "Options FollowSymLinks" eigentlich in irgendeiner .htaccess von Contao/Composer gesetzt oder muss das im Zweifelsfall der User selbst einfügen, falls die Option nicht sowieso per Default gesetzt ist? Genügt notfalls auch ein "Options SymLinksIfOwnerMatch"?

Hintergrund ist der, dass durch die Apache-Konfiguration von uberspace eine Symlink-Attacke auf die Daten anderer User möglich war. Wen es interessiert, der kann es hier im Detail nachlesen. Würde mich ja mal interessieren, wieviele andere Webhoster von diesem Problem auch betroffen sind, ohne was davon zu wissen

. Würde mich nicht wundern, wenn es so einige wären.

Jedenfalls ist der von uberspace gewählte Fix, "Options FollowSymLinks" in .htaccess-Dateien nicht mehr zuzulassen und stattdessen nur noch "Options SymLinksIfOwnerMatch". Was (laut uberspace) fast dasselbe bewirkt, allerdings mit der Einschränkung, dass man nur noch Symlinks auf eigene Dateien anlegen kann.

**Thomas** · 03.08.2014, 12:27

Sollte doch eigentlich dann keinerlei Auswirkungen haben, schließlich zeigen dann symlinks nur auf eigene Dateien!
Alles andere würde auch überhaupt keinen Sinn machen oder erwartest Du, dass dis symlinks vom Composer auf externe Ressourcen verweisen?

**tab** · 03.08.2014, 12:36

Zitat von Thomas

... oder erwartest Du, dass die symlinks vom Composer auf externe Ressourcen verweisen?

Ich weiss es nicht. Was ich bisher mitbekommen habe eher nicht. Gebe dir allerdings Recht, ich kann mir auf Anhieb auch nicht vorstellen, auf was so ein Symlink von Composer verweisen sollte, außer auf meine Dateien. Höchstens eventuell, wenn PHP als Apache-Modul läuft, was es aber bei uberspace sowieso nicht tut. Sollte da also in jedem Fall auch weiterhin funktionieren. Schlimmstenfalls müsste ich in den .htaccess-Dateien die Option Statements ersetzen - falls per Default überhaupt welche enthalten sind.

**Thomas** · 03.08.2014, 12:49

Kannst ja reinschauen!

Ich nutze Apache schon lange nicht mehr, aber bei nginx sind die symlinks per Default auch gestattet. Es gibt aber auch da die Möglichkeit nur symlinks auf eigene Dateien zu zu lassen.
Vielleicht teste ich dieser Tage mal damit rum. Da bei mir aber keine gehosteten Seiten liegen, ist das nicht so sehr im Fokus.

**tril** · 03.08.2014, 23:20

Also der Wechsel von FollowSymlinks auf FollowSymlinksIfOwnerMatch ist eine gute Entscheidung, sollte sich aber in keinster Weise auswirken. Wenn ein Symlink der vom Composer Client angelegt wurde irgendwo ins nirwana zeigt, dann weil ein Fehler aufgetreten ist.

Sollte es dennoch zu Problemen kommen, kannst du Composer in den Produktivbetrieb umstellen (Installationsquelle -> Archiv), dann installiert es die Pakete als (Schatten-)Kopien, anstatt diese zu symlinken. Damit wäre das Problem grundsätzlich umgangen.

MfG Tristan

**Thomas** · 04.08.2014, 11:04

Gut zu wissen!

**madmaharaja** · 05.01.2017, 13:10

Zitat von tril

Sollte es dennoch zu Problemen kommen, kannst du Composer in den Produktivbetrieb umstellen (Installationsquelle -> Archiv), dann installiert es die Pakete als (Schatten-)Kopien, anstatt diese zu symlinken. Damit wäre das Problem grundsätzlich umgangen.

Hallo Tristan, würde mich freuen, wenn du mir als Anwender bitte kurz erklären könntest, was du damit meinst ("Composer in den Produktivbetrieb umstellen") bzw. wie ich das mache? Und, welche Konsequenzen zieht das nach sich (Nachteile bzw. gibt's dann irgendwas, was ich in Zukunft, z.B. bei Updates, beachten muss)?
Ich habe nämlich gerade das Problem, dass ich ein Backup meiner Contao-Installation ziehen möchte und dass ich die Symlinks nicht herunterladen kann (geht wohl nicht per FTP). Danke und Gruß, Dave

**Thraile** · 05.01.2017, 17:07

Naja, was er eben geschrieben hat

. In der Pakteverwaltung unter Einstellungen -> Bevorzugte Installationsart auf "Distributionsarchiv" umstellen. Die Labels haben sich seit 2014 vielleicht ein bischen geändert.

Was hat die Umstellung zur Folge? Composer setzt keine Symlinks mehr zu system/modules, sonder kopiert die Dateien einfach dahin. Also liegen die Dateien eben doppelt auf dem Server und verbrauchen doppelt soviel Speicher. Wobei das bei der Größe von PHP-Dateien wohl durchaus zu verschmerzen ist.

**Spooky** · 05.01.2017, 23:21

Wobei diese Einstellung wahrscheinlich keinen Effekt auf bereits installierte Pakete hat, nehme ich an.

**Thraile** · 06.01.2017, 06:44

Hmm, guter Einwand, das habe ich mir auch noch nie so genau angesehen.

Es kann aber gut sein, dass die Funktion Pakete neu synchronisieren, das anpasst.

Gesendet von meinem D5803 mit Tapatalk

**madmaharaja** · 06.01.2017, 18:53

Danke für die etwas detaillierteren Erläuterungen. Habe ich jetzt mal durchgeführt (Umstellung auf Distributionsarchiv + erneute Synchronisierung). Die bisherigen Symlinks bleiben trotzdem nach wie vor erhalten.