Shop 2.0 - Installer bemängelt Schreibrechte magnaxxx.php

[Oldperl]

Servus,

installiere gerade die Version 2.0 und der Installer bemängelt die Schreibrechte von php-Dateien die mit magna- (sieh Bild) beginnen. Wofür sind diese Dateien und warum benötigen Sie Schreibrechte?

Linkback: https://www.modified-shop.org/forum/index.php?topic=35475.0

[webald]

Prüfe als erste mal ob di Dateien überhaupt vorhanden sind. Fehlen diese kommt trotzdem die Meldung fehlende Dateirechte.

[Oldperl]

Servus,

vielen Dank für deine Antwort. Die "bemängelten" Dateien sind im Installations-Paket der V. 2.0 mit enthalten. Inzwischen habe ich dann auch heraus bekommen das es sich um Dateien des Magnalisters handelt, zur Anbindung an andere Marktplätze.
Mir stellt sich aber immer noch die Frage, warum gerade diese PHP-Dateien beschreibbar gemacht werden müssen?

Gruß aus Franken

Ortwin

[dfriedrich82]

die kurze Antwort: weil es so ist

die ausführliche Antwort :
Ich vermute das bei diesen Dateien während der Installation bzw. Konfiguration Werte eingetragen werden, damit die Schnittstelle ordnungsgemäß funktioniert. Damit die Daten eingetragen werden können, muss die Datei vom System beschreibbar sein, zumindest vom ausführenden Skript.

Sobald die Installation durch ist, kannst Du ja wieder abändern, das die Datei nur lesbar ist.

[h-h-h]

Ich gehe davon aus, dass das Modul sich selbst aktualisieren kann, ohne es genau zu wissen…

[Oldperl]

Servus,

Ich gehe davon aus, dass das Modul sich selbst aktualisieren kann…

Wenn das so wäre, ist das natürlich eine gute Idee heutzutage, gerade in Zeiten von Server-Hacks, Pishing und Co.  Ich denke das könnte man sicherlich auch anders lösen als gleich ein externes Einfallstor zu öffnen.
Und wenn, dann könnte man die Schreibrechte auch optional setzen und zumindest eine Info darüber im Installer geben.

Ich werde mir das mal etwas genauer anschauen. But i' m not amused, würde die Queen nun wohl sagen...

Gruß aus Franken

Ortwin

[Tomcraft]

Ich gehe davon aus, dass das Modul sich selbst aktualisieren kann, ohne es genau zu wissen…

Genau so ist es. Eine Sicherheitslücke sehe ich darin nicht.
Da sollte man lieber mal die Augen aufsperren bei schlecht programmierten Modulen, die nachträglich installiert werden und Lücken auf reissen.

Grüße

Torsten

[Oldperl]

Servus,

sorry Torsten, aber da kann ich Dir so nicht zustimmen. Jedes Schreibrecht auf PHP-Dateien erhöht das Risiko. Selbstverständlich hast Du natürlich recht mit schlecht programmierten Modifikationen. Diese können erhebliche Löcher reißen. Aber gerade deswegen finde ich es wichtig, das man versuchen sollte den Rest des Core-Systems sehr pedantisch in Sachen Sicherheit zu behandeln. Und gerade bei Shop-Systemen geht es ja nun zumeist nicht um ein "paar Euro" wenn mal etwas gehackt wird, sondern das kann dann auch schon recht kostenintensiv werden.

Und um gleich keinen falschen Eindruck aufkommen zu lassen, ich bin Pro modified Shop und überzeugt von eurem System. Aber gerade deshalb, und im Hinblick auf meine Kunden, versuche ich auch immer ein Auge auf solche relevanten Themen wie die Sicherheit zu haben.

Gruß aus Franken

Ortwin

[dfriedrich82]

Das Risiko wird nicht unbedingt erhöht.
Schließlich kannst Du ja einstellen "wer" alles ein Schreibrecht hat. (das in FTP mit 755, 777 etc.)
Von Wordpress hört man ja auch nicht das es tausendfach gehackt wurde, obwohl es sich mittlerweile selber updated (wie auch viele andere Systeme mittlerweile).
Viele Systeme kannst Du ja auch direkt aus dem Backend aktualisieren (PrestaShop, Shopware etc.)

Das Risiko sind in der Regel wirklich nur nicht ausreichend programmierte Module oder Skripte ohne tiefergehende Sicherheitsabfragen.

Aber trotzdem gehört der Sicherheitsaspekt klar an erster Stelle

[Oldperl]

Servus,

Das Risiko wird nicht unbedingt erhöht.

Da streiten sich noch die Gelehrten...

Von Wordpress hört man ja auch nicht das es tausendfach gehackt wurde, obwohl es sich mittlerweile selber updated (wie auch viele andere Systeme mittlerweile).

Nun, dazu gibt es einen recht guten Artikel, der gerade dieses Thema bei WP ausführlich und verständlich erklärt - https://sectio-aurea.org/2014/07/dateirechte-warum-eigentlich/

Viele Systeme kannst Du ja auch direkt aus dem Backend aktualisieren (PrestaShop, Shopware etc.)

Ja gibt es, nur aus der Erfahrung heraus muss nicht immer alles was "geht" oder "machbar ist" auch wirklich vernünftig und gut sein. Aber ich weiß auch von anderen Systemen her, dass dieses ein sehr kontrovers diskutiertes Thema ist. Solange nix passiert ist es ja auch gut, nur wenn, dann...

Gruß aus Franken

Ortwin