Wählen Sie Ihren Login

Kontaktieren Sie uns

Wir helfen Ihnen gerne weiter!

Sie erreichen uns auch telefonisch über eine kostenlose Hotline-Nummer und per E-Mail.

Kontaktieren Sie uns

Am 29. April 2013 von Anna veröffentlicht in Allgemein
Kategoriebild allgemein.png
5
Verzeichnisse durch Quotas schützen

In allen Tarifen mit PHP-Unterstützung bieten wir die Möglichkeit an, Quotas einzurichten. Durch Quotas werden Verzeichnisse auf dem Webspeicherplatz besonders geschützt, da Skripte nur innerhalb des Verzeichnisses (und dessen Unterverzeichnisse) ausgeführt werden können, auf das eine Quota gelegt wurde. Auch kann nicht von außerhalb in die Quota gewechselt werden.

Oder einfach ausgedrückt: Man kommt weder raus noch rein.

Das macht z.B. dann großen Sinn, wenn man mehrere Webseiten auf einem Webspeicherplatz verwaltet.

Versäumt man ein Update der verwendeten Software oder nutzt allgemein Skripte mit Sicherheitslücken, kann man schnell Opfer eines Hackerangriffs werden. Befindet sich auf dem Verzeichnis, in dem die angegriffene Seite liegt, eine Quota, ist nur diese Domain betroffen, da die Angreifer nicht aus dem Verzeichnis herauswechseln und Schaden in anderen Verzeichnissen anrichten können.

Einrichtung von Quotas

Die Erstellung von Quotas ist über das Kundenmenü unter dem Menüpunkt „Verzeichnisse / Quotas“ möglich.

quotaanlegen

Als Pfad wird das Verzeichnis angegeben, das durch die Quota geschützt werden soll. Diesem Verzeichnis wird eine feste Speicherplatzgröße zugewiesen, da es durch die Quota ein abgeschotteter Bereich des Webspeicherplatzes sein wird. Weiter kann noch eine E-Mail-Absenderadresse angegeben werden, die beim Versand von Mails über Skripte innerhalb der Quota verwendet wird (sofern in den Skripten kein expliziter Absender festgelegt wurde).

FTP -Zugriff auf die Quota

Da das Verzeichnis nun mit eigenen Benutzerrechten versehen ist, kann über die „normalen“ FTP-Accounts, die auf einen Pfad außerhalb der Quota zeigen, nicht mehr zugegriffen werden. Dafür muss für das Verzeichnis, das durch die Quota geschützt wurde, nun ein eigner FTP-Account erstellt werden. Dies ist über den Menüpunkt „FTP-Accounts / LiveDisk®“ möglich.

quota-ftp

Loggt man sich mit diesem FTP-Account auf dem Server ein, befindet man sich direkt innerhalb der Quota. Gleiches gilt natürlich auch für SSH-Accounts.

Auch wenn es ein wenig umständlich ist, für einzelne Verzeichnisse eigene FTP-/SSH-Accounts nutzen zu müssen, können wir die Verwendung von Quotas dringend empfehlen, da so im Falle eines Angriffs nicht Ihr kompletter Webspace betroffen ist!

Schlagwörter: , ,
Am 12. November 2012 von Dietmar veröffentlicht in Allgemein
Kategoriebild allgemein.png
6
Sicherheit auf dem Webserver erhöhen

In der vergangenen Woche haben wir mit dem Beitrag “Skript-Sicherheit mittels PHP.INI erhöhen” einige Optionen genannt, mit der Sie als Kunde Ihre eingesetzten Skripte etwas eindämmen und die Sicherheit auf dem Webspace erhöhen können. Heute möchten wir Ihnen weitere Möglichkeiten und Hinweise geben, um es Angreifern schwerer zu machen und deren Schaden zu verringern.

Alle beschriebenen Optionen bieten keinen 100-prozentigen Schutz und sind nur als zusätzliche Maßnahmen anzusehen. Bitte prüfen Sie im Einzelfall, ob die genannten Maßnahmen für Sie überhaupt sinnvoll nutzbar sind.

  1. Nutzen Sie wo immer möglich eine Quota zur Abtrennung einzelner Verzeichnisse/Bereiche, so dass im schlimmsten Fall nur dieser Bereich betroffen ist und nicht Ihr kompletter Webserver. Die Einrichtung von Quotas nehmen Sie bitte im Kundenmenü in der Rubrik “Für Profis” unter dem Menüpunkt “Verzeichnisse/Quotas” vor.
  2. Setzen Sie in der php.ini-Datei Ihrer Domain(s) die sicheren PHP-Einstellungen, sofern Sie keine eigene PHP.INI verwenden möchten/können. IM Kundenmenü finden Sie Option bei der PHP-Versionsauswahl über den Menüpunkt “Allgemeines” -> “PHP-Version”.
  3. Sichern Sie sensible Bereiche zusätzlich mit einem Passwortschutz per .htaccess ab. Beispielsweise die URL bzw. den Pfad für die Administrationsoberfläche. (Wie Sie einen solchen Passwortschutz erstellen, beschreiben wir in unseren FAQ: Wie kann ich einen geschützten Bereich für meine Homepage einrichten?

  4. Nutzen Sie für sensiblere Bereiche wie den Login zusätzlich eine sichere Verbindung mittels SSL. Auch ohne eigenes Zertifikat kann beispielsweise über unseren SSL-Proxy “https” genutzt werden. Alle Informationen dazu finden Sie ebenfalls in unseren FAQ: Wie rufe ich meine Seite mit SSL-Verschlüsselung auf?

  5. Falls Sie selbst entwickelte PHP-Skripte einsetzen, sollten Sie bestimmte Grundregeln zur sicheren Entwicklung von PHP-Skripten beachten. Hierzu gehört es vor allem:- sämtliche Benutzereingaben zu validieren, um ein Einschleusen von ungültigen und ggf. schadhaften Werten/Parametern zu verhindern.
    • Zugangsdaten (z. B. zu Admin-Backends oder Datenbanken) nicht im Klartext auf dem Webserver zu speichern, sofern dies möglich ist. Häufig ist hier ein Abgleich mit einem Hash-Wert des Passwortes ausreichend.- sichere Passwörter zu verwenden, ab 10 Stellen und mit Buchstaben- und Zahlenkombinationen sowie Sonderzeichen.
    • Bitte verwenden Sie nach Möglichkeit die jeweils aktuellste der angebotenen PHP-Version (z.B. PHP 5.2.17 oder PHP 5.3.10), um auszuschließen, dass durch in PHP vorhandene Fehler und Sicherheitslücken Schadcode auf Ihrem Webspace ausgeführt wird. Selbes gilt für die MySQL-Datenbanken.
  6. Besitzen Sie bei uns einen Managed- oder ResellerDedicated-Server, so können Sie über das Kundenmenü mittels einer Anfrage an unsere Technikabteilung für den Webserver nachfolgende Werte setzen lassen:
    • ServerTokens ProductOnly (Diese Einstellung gilt für den gesamten Server und veranlasst den Webserver nur seinen Namen auszugeben, nicht jedoch die genaue Versionsnummer oder eingesetzte Module)
    • ServerSignature Off (Der Webserver erzeugt keine Informationsfußzeile mehr unter ausgelieferte Dokumente)
    • Für beide Einstellungen gilt: Es gibt Anwendungen, die die zurückgegebenen Werte auswerten und ohne vollständige Informationen Fehler verursachen. Ebenfalls gelten diese Optionen für den kompletten Server, einzelne Domains können davon nicht ausgenommen werden.
Am 24. Oktober 2011 von Sara veröffentlicht in Allgemein
Kategoriebild allgemein.png
1
Neu: Verzeichnisschutz auch für MyHome / MyHome Plus

Eine kleine aber feine Neuerung, durch die sich die Sicherheit deutlich verbessern lässt, bieten wir seit heute unseren MyHome Plus- und (im Rahmen der Upgradegarantie) MyHome-Kunden mit dynamischen Funktionen: Den bisher nur in höheren Tarifen enthaltenen “Verzeichnisschutz”.

Durch diesen lassen sich bestimmte Verzeichnisse “einsperren” und vom übrigen Speicherplatz abtrennen. Im ungünstigen Fall einer Sicherheitslücke bei von Ihnen eingesetzten Anwendungen ist dadurch ein Angreifer auf dieses geschützte Verzeichnis begrenzt und kann nicht auf andere, davon getrennte Verzeichnisse “übergreifen”.

Angesichts der stetig zunehmenden Angriffsversuche, bei denen Internetseiten massenhaft nach Sicherheitslücken durchsucht werden, war es uns ein wichtiges Anliegen, diesen Schutzmechanismus, durch den sich Auswirkungen erfolgreicher Angriffe zumindest begrenzen lassen, allen “skriptfähigen” Tarifen zur Verfügung zu stellen.

Bitte beachten Sie hierzu auch unser Forenposting vom heutigen Tage.

 

Schlagwörter: ,
Am von Peter veröffentlicht in Allgemein
Kategoriebild allgemein.png
0
Kurz notiert: Verzeichnis-Begrenzungen/Quotas für MyHome-Pakete

Webspace-Begrenzung und Zugriffsschutz bietet in Paketen mit dynamischen Inhalten Kontrolle und Sicherheit durch die Vergabemöglichkeit steht diese Sicherheitsfunktion ab sofort auch in den MyHome Plus-Paketen bei zusätzlich gebuchter Option für dynamische Inhalte zur Verfügung.

Alle weiteren Informationen zu diesem Feature finden Sie in unserem Forum:

NEU: Verzeichnis-Begrenzungen/Quotas für MyHome-Pakete mit dynamischen Inhalten!

Schlagwörter: , ,