Dateien oberhalb von Document Root schützen

[okdev]

Hi,

ich kenne mich mit Contao bisher nicht aus. Eine Webseite wurde für uns damit erstellt und liegt jetzt auf unserem Strato Shared-Web-Hosting.

Wir hosten dort verschiedene Webseiten in verschiedenen Unterordnern, so auch Contao. Die Contao Seite hat eine eigene Domain, dessen Document Root entsprechend in den Unterordner zeigt, z.B.: .../htdocs/contao/htdocs/public/

Mein Problem ist, dass Strato standardmäßig eine Domain auf das root Verzeichnis des Hostings zeigen lässt (.../htdocs/). Document Root dieser Domain lässt sich meines Wissens nach nicht verschieben oder deaktivieren.

Mittels dieser Domain kann man dann allerdings auf beliebige Dateien in .../htdocs/contao/ zugreifen. Wenn ich es richtig sehe ist dies ein Sicherheitsproblem. Selbst die Contao Seite im root des Hostings zu betreiben würde nicht helfen, da Document Root ja auf den Unterordner /public/ zeigen muss.

Theoretisch ist diese Standarddomain nicht bekannt und wird auch nicht produktiv verwendet. Das reicht mir als Schutz aber nicht aus.

Andere Software scheint das über .htaccess zu lösen und lässt sich dadurch ohne Probleme in den Unterordnern betreiben (z.B. phpBB, Typo3).

Welche Lösungsmöglichkeiten gibt es für Contao, außer einen anderen Hoster zu verwenden?
Z.B. .htaccess? chmod?

Für konstruktive Ideen wäre ich sehr dankbar!

Grüße
Oli

[Spooky]

Document Root dieser Domain lässt sich meines Wissens nach nicht verschieben oder deaktivieren.

Ich denke nicht dass das korrekt ist. Bei Strato solltest du in der Lage sein für jede (Sub)Domain den DocumentRoot beliebig festlegen zu können.

[okdev]

Danke Spooky für die schnelle Antwort.

Bei Strato solltest du in der Lage sein für jede (Sub)Domain den DocumentRoot beliebig festlegen zu können.

Das ist korrekt, allerdings nur für alle selbst angelegten Domains. Wenn man das Paket bei Strato kauft gibt es allerdings bereits eine (etwas kryptische) Domain, welche immer auf den root zeigt. Diese hat keine Einstellungsmöglichkeiten. Ich schätze dies soll ermöglichen mit dem Webspace zu arbeiten, noch bevor eigene Domains aktiviert sind.

Diese Domain wird überigens auch als Benutzername für SFTP/SSH verwendet. Alles recht ungünstig gemacht in meinen Augen, aber damit muss ich jetzt leben und bräuchte eine andere Lösung.

[okdev]

Idee der Agentur, welche die Seite erstellt hat:

"Wir könnten auf Basis-Ebene eine .htaccess hinterlegen, die alle Aufrufe auf die contao-seite.de weiter leitet?"

Macht das für euch Sinn? Ich habe Sorge das dadurch ggfs andere Probleme entstehen.

[Spooky]

Wenn man das Paket bei Strato kauft gibt es allerdings bereits eine (etwas kryptische) Domain, welche immer auf den root zeigt. Diese hat keine Einstellungsmöglichkeiten. Ich schätze dies soll ermöglichen mit dem Webspace zu arbeiten, noch bevor eigene Domains aktiviert sind.

Das wäre aber eine fatale Sicherheitslücke in deren System. Da solltest du dich dringend an den Hoster wenden.

[Spooky]

Unabhängig davon: verschiebt doch einfach eure Contao Installation in einen separaten Ordner und dann ändert den DocumentRoot der entsprechenden Domain(s). Soweit ich das verstanden habe zeigt die Test-Domain immer fix auf einen gewissen Ordner und ist unabhängig von der "Haupt" Domain (die es im Endeffekt vermutlich nicht gibt).

[okdev]

Vlt habe ich mich missverständlich ausgedrückt.

Ein Beispiel:

strato-packetdomain.de -> root/

contao-seite.de -> root/contao/htdocs/public/

root/ ist dabei wirklich das oberste auf das man in dem Paket zugreifen kann, kein Unterordner.

Diese strato-packetdomain.de wird nicht offiziell als webspace domain angepriesen, nur als Benutzername für SFTP/SSH. Ich habe die domain aber einfach mal aufgerufen und festgestellt, dass diese auf root/ zeigt. Und damit komme ich dann z.B. auch auf: strato-packetdomain.de/contao/htdocs/config/parameters.yml
Einfach über den Browser alles im Klartext...

Bei Strato wird das "Master-ID" genannt:
https://www.strato.de/faq/vertrag/wa...etige-ich-sie/

[tab]

Das kann ich bestätigen, habe auch keine Möglichkeit gefundenden Zugriff per Browser über die "Master-ID" zu deaktivieren. Aber natürlich erfordert der Zugriff auf z.B. eine parameters.yml Kenntnis des kompletten Pfads. Legt man die Website(s) alle in einen langes und kryptisches Unterverzeichnis, dann braucht man als Außenstehender ohne Kenntnis über den kompletten Pfad schon "ein wenig" Glück. Und da Strato schön langsam ist, wird eine Brute-Force Attacke auch nicht so schnell gehen

[Spooky]

Wie gesagt, wenn das wirklich so ist, dann wäre das eine fatale Sicherheitslücke seitens Strato.

Logge dich mal per SSH ein und poste die Ausgabe von pwd.

[mlweb]

Ich habe das mit einem Strato Account und einer Contao-Installation Version 4.13 gerade getestet.
Der Ordner oberhalb des Document-Roots (public-Verzeichniss) ist bei mir nicht erreichbar mit Eingabe der Maste-ID und dem korrekten Pfad (The requested URL was not found on this server.)
Bei mir liegt die Installation allerdings grundsätzlich nicht direkt im Hauptverzeichnis sondern einige Ebenen tiefer (htdocs/domainname/contaoversion/public).

Nachtrag: Aber stimmt einzelne Dateien sind darüber erreichbar.

[okdev]

httdocs/domainname/contaoversion/public.

Tippfehler?

[okdev]

Logge dich mal per SSH ein und poste die Ausgabe von pwd.

/mnt/webxxx/d1/14/xxxxxx/htdocs

die 'x' habe ich eingefügt, sonst wäre eigentlich schon klar wie man auf unseren Space kommt.

[mlweb]

Ja Tippfehler. Korrigiere ich gleich.

[okdev]

Legt man die Website(s) alle in einen langes und kryptisches Unterverzeichnis, dann braucht man als Außenstehender ohne Kenntnis über den kompletten Pfad schon "ein wenig" Glück.

Nette Idee, danke! Scheint mir bisher die einzige Lösung zu sein.

Ich bin kein Sysop, aber ich hätte gedacht via .htaccess o.ä. ließe sich das doch auch anders in den Griff bekommen, ohne Funktionalitäten zu blockieren, oder?

Und da Strato schön langsam ist, wird eine Brute-Force Attacke auch nicht so schnell gehen

[tab]

Ich habe das mit einem Strato Account und einer Contao-Installation Version 4.13 gerade getestet.
Der Ordner oberhalb des Document-Roots (public-Verzeichniss) ist bei mir nicht erreichbar mit Eingabe der Maste-ID und dem korrekten Pfad (The requested URL was not found on this server.)
Bei mir liegt die Installation allerdings grundsätzlich nicht direkt im Hauptverzeichnis sondern einige Ebenen tiefer (httdocs/domainname/contaoversion/public).

Nachtrag: Aber stimmt einzelne Dateien sind darüber erreichbar.

Mit welcher Datei hast du das getestet? Bei mir klappt das sehr wohl. Und wenn ich auch das Risiko nicht als sehr hoch einschätze, wenn man die Verzeichnisnamen nicht zu offensichtlich wählt, ist es theoretisch schon unsicher. Bei netcup habe ich das Sicherheitsproblem per Default ebenfalls, kann es aber abstellen, indem ich meine Websites halt nicht unterhalb dieser "Master-ID" positioniere.

[Spooky]

/mnt/webxxx/d1/14/xxxxxx/htdocs

Und

Code:

mkdir /mnt/webxxx/d1/14/xxxxxx/contao

funktioniert nicht?

[okdev]

Und

Code:

mkdir /mnt/webxxx/d1/14/xxxxxx/contao

funktioniert nicht?

Leider nicht:

Code:

cannot create directory ‘/mnt/webxxx/d1/14/xxxxxx/contao’: Permission denied

Mal so nebenbei: ich bin gerade begeistert von eurer Reaktionszeit hier... tolle Community! Vlt schwenke ich doch mal von WordPress auf Contao um

[mlweb]

@tab

Mit welcher Datei hast du das getestet?

Hatte zunächst einen Fehler in meinem Pfad. Der Nachtrag bezog sich darauf, das die Datei doch aufrufbar ist.

[Spooky]

Puh, ja, also wie gesagt, das ist eine fatale Sicherheitslücke. Strato muss das ändern. Man erinnere sich nur an die Fälle von vor einigen Jahren, wo unbeabsichtigt der .git Ordner von Webapplikationen großer Konzerne öffentlich einsehbar war.

[mlweb]

OFFTOPIC:

Vlt schwenke ich doch mal von WordPress auf Contao um

Das ist ein sehr guter Gedanke .
Wir haben übrigens Anfang Mai unser Contao-Camp in Regensburg, da kannst Du Dich Live von unserer Community überzeugen lassen.

[okdev]

Keine andere Möglichkeit via .htaccess o.ä. vorhanden?

[tab]

Puh, ja, also wie gesagt, das ist eine fatale Sicherheitslücke. Strato muss das ändern. Man erinnere sich nur an die Fälle von vor einigen Jahren, wo unbeabsichtigt der .git Ordner von Webapplikationen großer Konzerne öffentlich einsehbar war.

Das ändern die bestimmt bis morgen. Schliesslich sind sie vielfacher Service-Weltmeister und ihre Rechenzentren sind vom TÜV (Nord) zertifiziert.

[tab]

Also die Master-ID ist schon mal kein großer Schutz. Habe meine mal abgeändert, im zweiten Versuch habe ich dann offenbar schon einen anderen Kunden erwischt. Allerdings müsste ich immer noch den kompletten Pfad zu einer vom Webserver auslieferbaren Datei erraten. Ich möchte auch gar nicht wissen, wie es bei anderen Hostern wirklich(!) aussieht. Nur weil ich dort den Zugang über meine mir bekannte System-Subdomain absichern kann (durch ändern der document root oder wie auch immer) oder gar keine solche System-Subdomain habe, weiss ich ja noch lange nicht, über welche sonstigen (dem Kunden unbekannte bzw nicht mitgeteilte) (Sub-)Domains des Hosters eventuell trotzdem die selbe Zugriffsmöglichkeit besteht.

[Spooky]

Allerdings müsste ich immer noch den kompletten Pfad zu einer vom Webserver auslieferbaren Datei erraten.

Viele Kunden werden wohl direkt im htdocs ihre einzelne Applikation installiert haben. In dem Fall ist es ja dann leicht. Und an die Domain kommt man ja auch ohne Probleme.

[tab]

Klar, die Rechenzentren sind in etwa so sicher wie Dämme in Brasilien, lediglich die Daten sind ungeschützt. Peanuts!

[okdev]

Danke für euer bisheriges Feedback. Ich habe mal den Strato Support diesbezüglich angeschrieben und werde berichten.

[okdev]

Zur Info, die Agentur, welche die Contao Seite erstellt hat, hat eine .htaccess Datei im root Ordner von contao abgelegt mit folgendem Inhalt:

Code:

RewriteEngine On

RewriteCond %{HTTP_HOST} !^www.contao-seite.de [NC]
RewriteRule ^(.*)$ https://www.contao-seite.de/ [R=301,L]

Ich musste allerdings auch die Abfrage rausnehmen ob mod_redirect aktiv ist - gehört sich eigentlich so, funktioniert aber bei Strato nicht.
Mit der aktiven .htaccess-Datei kannst du egal welchen Ordner nicht mehr aufrufen, ohne auf die www.contao-seite.de weitergeleitet zu werden. Und mit der Strato Domain hast du nurnoch Zugriff auf deren Webroot.

Funktioniert natürlich jetzt nur für die contao Seite. Aber die anderen Projekte scheinen aktuell soweit safe, durch eigene .htaccess Regeln.

[neelix]

Danke für euer bisheriges Feedback. Ich habe mal den Strato Support diesbezüglich angeschrieben und werde berichten.

Da bin ich echt mal gespannt welche Begründung sie dafür liefern. Aber diese System-Domains gibt es bei vielen Anbietern.

[mlweb]

Aber diese System-Domains gibt es bei vielen Anbietern.

Aber bei den meisten Anbietern kann ich ihr ein anderes Root- Verzeichnis zuweisen z.B. parallel zu meiner Domain. Bei manchen Anbietern passiert das sogar von Haus aus so (Cyon z.B.)

[okdev]

Nach langem Vertrösten wie überlastet der Support zur Zeit sei habe ich leztlich diese Antwort von Strato bekommen:

Bedauerlicherweise ist es nicht möglich das Root zu deaktivieren bei STRATO Hosting Paketen.

[Spooky]

Und auf die daraus entstehende Sicherheitslücke sind sie nicht eingegangen?

[okdev]

Und auf die daraus entstehende Sicherheitslücke sind sie nicht eingegangen?

Nein, das war tatsächlich die komplette Antwort. Ich nehme einfach mal an der (überlastete) 1st Level Support hat die Frage weitergeleitet und entsprechende Antwort bekommen.

Ich schätze nachhaken lohnt sich nicht. Rein wirtschaftlich wird es lohnender sein Usern eine Domain geben zu können mit der sie auf ihren Space kommen, wenn noch keine andere Domain aktiviert ist, anstatt jetzt noch Funktionen einzubauen um das bei Bedarf auch abzuschalten o.ä., was wahrscheinlich so gut wie nie nachgefragt wird. Und wenn was passiert wird es sich auf den Space des users begrenzen, da spielt man ihm dann halt wieder ein Backup ein.

Aber wer sich berufen fühlt kann natürlich gerne versuchen da etwas zu bewegen

[Spooky]

Die Domain muss ja nicht unbedingt entfernt werden können. Sondern sie müssten ihr Setup so ändern, dass man im User-Home beliebige Verzeichnisse anlegen kann.

[tab]

Hmm, muss ich dort wohl mal nachhaken, bevor ich mein Strato-Paket schweren Herzens kündigen muss . Ich kann absolut keinen Sinn darin erkennen, dass man Daten ohne Authentifizierung über den Webserver auslesen kann. Ich bin mir auch nicht sicher, ob sich so etwas mit der in der DSGVO geforderten Datensicherheit verträgt. Wieviel Umsatz macht Strato? Dann können die sich ihre mögliche Höchststrafe ausrechnen. Aber die sind wahrscheinlich auch wieder "too big to fail".

[Spooky]

Und das Problem hast du ja nicht nur mit Applikationen, die einen Document Root in einem Unterordner erfordern (wie bspw. Contao), sondern auch sobald du einfach mehr als nur eine Applikation in diesem einen Webspace betreibst.

[neelix]

Aber wer sich berufen fühlt kann natürlich gerne versuchen da etwas zu bewegen

Ich habe den Threat hier mal bei der c't Redaktion gemeldet. Die haben vor ein paar Jahren mal Webhoster getestet und es wäre eigentlich an der Zeit das zu wiederholen.
Mal schauen, ob es für sie interessant ist.