ZEND da oder nicht?

Begonnen von whoo, 29 Juni 2004, 11:48:12

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

whoo

Salve!

Ich möchte UNBEDINGT dieses tolle Mx installieren, bin jedoch gescheitert :(

Die Installation lief recht problemlos, aber beim Aufrufen der admin.php wird mir nur eine weiße Seite angezeigt.


Woran könnte es liegen? ZEND ist doch drauf, oder sehe ich das falsch?

Hier die Info's zum Server:

  http://www.glevel.de/installcheck/

http://www.glevel.de/info.php


Danke schonmal im Voraus :)

[Editiert am 29/6/2004 von whoo]

[Editiert am 29/6/2004 von whoo]

Sascha1981

Sorry, your system doesn't support the vkpMx 2.0.
Auszug vom installcheck

jubilee

Hallo !
Es ist zwar die Zend-Engine installiert, aber leider nur die Version 1.1.1
Leider müsste aber mindestens die Version 1.3.0 installiert sein.
Auch ist von den decodern keiner installiert. Auch ist der Safe_Mode
(als local Value) eingeschaltet.
So ist erstmal keine Nutzung des Systems möglich.
Jetzt bräuchten wir erstmal weitere Informationen zu dem system.
Eigener Server ? Root-Zugriff ?
Virtueler Server ?
Bitte etwas mehr an Infos ....
Mfg
jubilee

whoo


>> Root Server

ZEND 1.3 wird installiert
Safe Mode wird auf "OFF" gestellt (local Value)

Nach diesen beiden Änderungen müsste es dann gehen, oder?

Andi

Hi :)

bitte nicht verwechseln, es ist nicht die Zend-Engine gemeint, sondern der Zend-Optimizer.
Aber wenn safe-mode off ist, dann funzt ja der SourceGuardian...
schön´s Grüssle, Andi

jubilee

Ja, stimmt.
Warum bin ich jetzt eigentlich auf die Engine gekommen.
Pffff .... War wohl irgendetwas anderes ...
amkopfkratz ...

MfG
jubilee

whoo


Mmmh, ist Safe_Mode OFF als Local Value nicht zu unsicher?

Ich dachte, das wäre gerade in aktuellen php-Versionen extra so geändert worden, weil die alte Methode halt nicht unbedingt der Sicherheit entsprach.

jubilee

Hallo !
 
ZitatMmmh, ist Safe_Mode OFF als Local Value nicht zu unsicher?
 
Ja, eigentlich schon.
Aber ist die einzige Möglichkeit um das dynamische Laden der extension zu ermöglichen, wenn der Decoder NICHT fest eingebunden werden soll.
MfG
jubilee

whoo


Gibt es Alternativen dazu, dies nicht abzuschalten?

Anderer Decoder evtl. ?

Und mal angenommen ich schalte das ab...
Betrifft diese Funktion dann nur das PHP für diese Domain, oder geht das auf den gesamten Server über?

ich frage, weil ich auf diesem Server mehere Domains laufen habe.

jubilee

Hallo !
 
ZitatGibt es Alternativen dazu, dies nicht abzuschalten?
Anderer Decoder evtl. ?
Nein, hat auch nix mit dem Decoder zu tun sondern mit dem dynamischen Laden von extension in php. Dies ist mit SafeMode NICHT möglich.
 
ZitatUnd mal angenommen ich schalte das ab...
Betrifft diese Funktion dann nur das PHP für diese Domain, oder geht das auf den gesamten Server über?
 
Nein, das kannst Du per Domain bzw per virtuellem Host ein-/ausschalten. Das ist ja gerade das was unter Master Value und Local Value in phpinfo zu verstehen ist. Der Master Value ist die Einstellung für den kompletten Server und der Local Value ist die Einstellung für den virtuellen Host / die Domain
MfG
jubilee

[Editiert am 30/6/2004 von jubilee]

whoo

Ich will das Thema nicht breittreten, aber könnt ihr mir erklären, welches Sicherheitsrisiko ich eingehe, wenn ich SafeMode ausstelle?

vkpMx preist sich doch damit an, im Gegensatz zu Nuke die sichere Variante zu sein !! - da passt es nicht in mein Verständniss, Safe Mode auszustellen :)


Bitte nicht übel nehmen meine Frage !

Ansonsten SUPERSUPPORT hier !! DANKE !!

jubilee

Hallo !
 
ZitatvkpMx preist sich doch damit an, im Gegensatz zu Nuke die sichere Variante zu sein !! - da passt es nicht in mein Verständniss, Safe Mode auszustellen
 
Decoder-Software statisch einbinden, Safe_Mode braucht nicht abgeschaltet zu werden.
Risiken bei abgeschalteten SafeMode:
Ein potentieller Angreifer kann bei abgeschalteten Safe_Mode evt auf
Dateien/Verzeichnisse schreibend zugreifen, die von den chown (Besitzer/Gruppenrichtlinie) ihm nicht zugänglich wären. Das bedingt aber, das der Angreifer es schafft, die normale Abarbeitung des Scriptes zu verändern (XSS, einscheusen von Variablenwerte über nicht verifizierte Eingabefelder etc...)
Bei abgeschaltetem Safe_Mode ist es ratsam, das open_basedir auf das (Web-)Homeverzeichnis zu legen. Somit kann der Angreifer diese Grenze nicht überschreiten und nicht im gesammten Filesystem stöbern.
BTW ist es aber sehr gefährlich, sich nur auf den SafeMode zu verlassen. Das ist mitnichten eine Sicherheitsgarantie. dort spielen auch weitere Faktoren eine Rolle. Nicht zuletzt die Serverkonfiguration (zusammenspiel Apache/PHP, php als Modul oder als CGI etc...)
Weiterhin ist SafeMode absolut nutzlos, wenn die Filepermissions eh nicht stimmen. Dann hilft das auch überhaupt nix.
Noch ein kleines Zitat :
"Sicherheit ist eine Illusion"
MfG
jubilee