[Erledigt] PHP Scriptausführung nur vom localhost zulassen

jspit · 19.01.2012, 09:54

Ich habe ein PHP script für Test- und Debuggigzwecke mit sehr weitreichenden Rechten, das unter XAMPP im localen Intranet eingesetzt wird. Unbefugte Nutzung blocke ich wie folgt ab:

PHP-Code:

    if($_SERVER["REMOTE_ADDR"] != $_SERVER["SERVER_ADDR"]) {echo "<br>keine Berechtigung<br>"; exit();}

Funktioniert erstmal. Meine Frage hierzu: Ist das auch sicher genug ?

LG jspit

Connar · 19.01.2012, 10:09

Du könntest es auch über die .htaccess oder über die config vom Apache steuern, indem du dort nur die lokale IP zulässt. Das ermöglicht dir auch, ein paar mehr hinzuzufügen, statt nur der exakt gleichen.
So wie ich das hier sehe würde nämlich nur die exakt gleiche IP zugelassen werden und nicht eine komplette Range von IPs, wie du es in einem Intranet normalerweise hast.

MFG Connar

Wolla · 19.01.2012, 13:37

Der $_SERVER-Array kommt vom User und ist von diesem manipulierbar. Man kann sich prinzipiell nicht darauf verlassen, dass z.B. die behauptete IP oder der behauptete Referrer den Tatsachen entsprechen.
Mir ist jetzt allerdings auch nicht bekannt, wie man sich aus dem Internet durch den Router ins Intranet wühlen könnte.
Wenn das Ganze so sicherheitskritisch ist, dann vergib doch für jeden berechtigten User eine User/Passwort-Kombination.

jspit · 19.01.2012, 16:05

Danke für die Hinweise. Da dies meine alleinige Testumgebung ist, gibt es erstmal keine weiteren berechtigten User. Hab mal ein wenig mit .htaccess probiert und bin zu folgender einfachen Lösung gekommen:

PHP-Code:

  <Files meinscript.php>
order deny,allow
deny from all
allow from 127.0.0.1
</Files>

Bin dabei in eine böse Falle getappt, die Zeilen waren in der .htaccess nur mit CR abgeschlossen. Da kamen die unsinnigsten Fehler im log.

19.01.2012, 19:32

um es noch sicherer zu machen, kannst du noch ne .htpasswd setzen

19.01.2012, 19:38

Zitat:

Zitat von WilkeDevelop

um es noch sicherer zu machen, kannst du noch ne .htpasswd setzen

EDIT: das ist dann falsch
[killen]Das würde dann die Ausführung zielsicher verhindern...[/killen]
wenn der Aufruf nicht via HTTP erfolgt.

19.01.2012, 20:00

Zitat:

Zitat von meikel

Das würde dann die Ausführung zielsicher verhindern...

äh?

19.01.2012, 20:07

Zitat:

Zitat von WilkeDevelop

äh?

Siehe EDIT.

ChrisvA · 19.01.2012, 21:13

Wieso ist das Skript überhaupt global verfügbar?
Setze doch den Documentroot Lokal eine Ebene höher (z.B. mit einem 2. Port, der durch die Firewall von außen dicht ist) und sperre so alles von außerhalb aus.
Bei einem richtig eingestellten Router kann sowieso keine von außen auf einen anderen Port zugreifen und so das Skript erreichen.

hts · 19.01.2012, 21:20

Zitat:

Zitat von meikel

EDIT: das ist dann falsch
[killen]Das würde dann die Ausführung zielsicher verhindern...[/killen]
wenn der Aufruf nicht via HTTP erfolgt.

Selbst mit killed-BBC wird es nicht verständlicher: Wie sonst sollte man ein PHP-Script von außerhalb aufrufen, wenn nicht über HTTP?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mails über localhost senden: SMTP-Fehler?	Pascalh	PHP Einsteiger	2	21.01.2011 13:22
[Erledigt] enis.de ist lokale Weiterleitung auf localhost?!	Lollix	Off-Topic Diskussionen	2	30.12.2010 10:55
mod_rewirte Ordnerproblem (localhost)	go1denboy	Server, Hosting und Workstations	1	17.09.2009 14:36
[Erledigt] localhost doppelt belegt	Mikay Kun	Server, Hosting und Workstations	2	28.03.2009 23:49
MySQLDump auf localhost: leere Datei	delphicreator	Datenbanken	2	24.08.2008 10:24
localhost mit name virtual host problem??	c01001	Server, Hosting und Workstations	3	01.04.2006 11:07
Mysql startet nicht mehr ??? Hilfe ???	c01001	Datenbanken	12	25.01.2006 00:10
xampp -> alles an localhost will nicht	notyyy	PHP Tipps 2005-2	2	14.10.2005 17:03
ASP als localhost	JanM	Off-Topic Diskussionen	3	11.10.2005 20:14
Timed out read from localhost bei PEAR::SOAP-Kommunikation	Elmo2k	PHP-Fortgeschrittene	3	30.08.2005 13:07
Imagemagick auf dem localhost einrichten....	18inch	PHP Tipps 2005-2	1	28.06.2005 10:55
localhost / Variabeln in header()	RoDa	PHP Tipps 2005	11	02.05.2005 14:37
ftp FUnktionen auf dem localhost???	18inch	PHP Tipps 2005	12	16.04.2005 20:36
Cookie / localhost / Problem gelöst		PHP-Fortgeschrittene	11	02.11.2004 22:41

19.01.2012, 09:54
jspit Erfahrener Benutzer Registriert seit: 19.08.2011 Beiträge: 701 PHP-Kenntnisse: Anfänger	[Erledigt] PHP Scriptausführung nur vom localhost zulassen Ich habe ein PHP script für Test- und Debuggigzwecke mit sehr weitreichenden Rechten, das unter XAMPP im localen Intranet eingesetzt wird. Unbefugte Nutzung blocke ich wie folgt ab: PHP-Code: `if($_SERVER["REMOTE_ADDR"] != $_SERVER["SERVER_ADDR"]) {echo "<br>keine Berechtigung<br>"; exit();}` Funktioniert erstmal. Meine Frage hierzu: Ist das auch sicher genug ? LG jspit


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

19.01.2012, 10:09
Connar Erfahrener Benutzer Registriert seit: 22.01.2005 Beiträge: 606	Du könntest es auch über die .htaccess oder über die config vom Apache steuern, indem du dort nur die lokale IP zulässt. Das ermöglicht dir auch, ein paar mehr hinzuzufügen, statt nur der exakt gleichen. So wie ich das hier sehe würde nämlich nur die exakt gleiche IP zugelassen werden und nicht eine komplette Range von IPs, wie du es in einem Intranet normalerweise hast. MFG Connar

19.01.2012, 13:37
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Der $_SERVER-Array kommt vom User und ist von diesem manipulierbar. Man kann sich prinzipiell nicht darauf verlassen, dass z.B. die behauptete IP oder der behauptete Referrer den Tatsachen entsprechen. Mir ist jetzt allerdings auch nicht bekannt, wie man sich aus dem Internet durch den Router ins Intranet wühlen könnte. Wenn das Ganze so sicherheitskritisch ist, dann vergib doch für jeden berechtigten User eine User/Passwort-Kombination. __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

19.01.2012, 16:05
jspit Erfahrener Benutzer Registriert seit: 19.08.2011 Beiträge: 701 PHP-Kenntnisse: Anfänger	Danke für die Hinweise. Da dies meine alleinige Testumgebung ist, gibt es erstmal keine weiteren berechtigten User. Hab mal ein wenig mit .htaccess probiert und bin zu folgender einfachen Lösung gekommen: PHP-Code: `<Files meinscript.php> order deny,allow deny from all allow from 127.0.0.1 </Files>` Bin dabei in eine böse Falle getappt, die Zeilen waren in der .htaccess nur mit CR abgeschlossen. Da kamen die unsinnigsten Fehler im log.

19.01.2012, 19:32
WilkeDevelop Gast Beiträge: n/a	um es noch sicherer zu machen, kannst du noch ne .htpasswd setzen

19.01.2012, 21:13
ChrisvA Erfahrener Benutzer Registriert seit: 10.01.2010 Beiträge: 386 PHP-Kenntnisse: Fortgeschritten	Wieso ist das Skript überhaupt global verfügbar? Setze doch den Documentroot Lokal eine Ebene höher (z.B. mit einem 2. Port, der durch die Firewall von außen dicht ist) und sperre so alles von außerhalb aus. Bei einem richtig eingestellten Router kann sowieso keine von außen auf einen anderen Port zugreifen und so das Skript erreichen.