Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of OFF

Sikkerhet i Joomla - og tilhørende elementer som server etc.

Moderators: sone12, Per Yngve Berg

Locked
Knut
Joomla! Apprentice
Joomla! Apprentice
Posts: 25
Joined: Fri Apr 07, 2006 5:46 pm

Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of OFF

Post by Knut » Wed Aug 30, 2006 10:59 am

Etter oppdatering til 1.0.11 har disse nye sikkerhetsadvarslene dukket opp. Hos meg står det følgende:
PHP register_globals setting is `ON` instead of `OFF`

Hvordan fikser jeg det, og HVOR fikser jeg det?

Knut B.

User avatar
jenscski
Joomla! Ace
Joomla! Ace
Posts: 1468
Joined: Thu Aug 18, 2005 6:58 am
Location: Tønsberg, Norway

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of O

Post by jenscski » Wed Aug 30, 2006 11:04 am

Hvis du kjører joomla på din egen maskin så kan du endre register_globals i php.ini, men hvis du har siden din hos et webhotel så kan du trolig benytte deg av .htaccess


Hvis du ikke har en .htaccess fil fra før, så lag en og legg
php_flag register_globals off
i den. Og har du denne filen fra før, legg til denne linjen.
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/

Øystein M
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 117
Joined: Fri Oct 21, 2005 2:04 pm
Location: Norway

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of O

Post by Øystein M » Wed Aug 30, 2006 12:28 pm

Noen 3. parts komponenter slutter å fungere når du skrur denne av, noen som har en forklaring på hvorfor, og hva som eventuelt må endres hvis komponenten skal fungere med register-globals OFF?
Øystein M
VOTE FOR JOOMLA!, UK LINUX AWARDS: http://snipurl.com/xhga
Vote for Joomla! NOW http://www.packtpub.com/article/final_five_joomla

User avatar
jenscski
Joomla! Ace
Joomla! Ace
Posts: 1468
Joined: Thu Aug 18, 2005 6:58 am
Location: Tønsberg, Norway

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of O

Post by jenscski » Wed Aug 30, 2006 12:48 pm

Øystein M wrote: Noen 3. parts komponenter slutter å fungere når du skrur denne av, noen som har en forklaring på hvorfor, og hva som eventuelt må endres hvis komponenten skal fungere med register-globals OFF?
Det finnes ingen enkle grep for at komponenter som er dårlig skrevet skal fungere med register globals av, enten så må man leve med register globals på, mase på utviklerene, eller endre komponentene selv slik at de fungerer med register globals av..
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/

Øystein M
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 117
Joined: Fri Oct 21, 2005 2:04 pm
Location: Norway

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of OFF

Post by Øystein M » Wed Aug 30, 2006 1:07 pm

For min egen del gjelder dette en "dårlig skrevet" komponent som ligger utenfor joomla, men den er like fullt et problem hvis den skal ligge på samme domene. :o

Der skrev jeg faktisk løsningen på dette selv. Jeg kan jo legge denne på et eget område på serveren, og peke til den via et subdomene. Sånn kan det være av til.
Øystein M
VOTE FOR JOOMLA!, UK LINUX AWARDS: http://snipurl.com/xhga
Vote for Joomla! NOW http://www.packtpub.com/article/final_five_joomla

User avatar
Stinus
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 210
Joined: Thu Feb 02, 2006 9:25 pm
Location: Stavanger / Tananger
Contact:

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of O

Post by Stinus » Wed Aug 30, 2006 3:08 pm

Hei
jenscski wrote: Hvis du kjører joomla på din egen maskin så kan du endre register_globals i php.ini, men hvis du har siden din hos et webhotel så kan du trolig benytte deg av .htaccess


Hvis du ikke har en .htaccess fil fra før, så lag en og legg php_flag register_globals off i den. Og har du denne filen fra før, legg til denne linjen.
Du kan også gjøre det på en annen måte. Forandre i global.php

Dette fungerte for meg.
Hvis du fikk en feilmelding med
define( 'RG_EMULATION', 0 );

Så kan du gå gå inn i global.php og sette dette til 0 i steden for 1.  se Don't forget to turn off register global emulation of Joomla as well
Her er det også en oppdatert liste over ukomblitable komponenter

Se også på denne Joomla Administrator's Security Checklist
Stian Magnussen
Veteranbrannbiler - https://veteranbrannbiler.com/ - En side om gamle brannbiler
1. Tananger Sjøspeidergruppe - https://1tanangersjo.no/

RS|Stian
Joomla! Apprentice
Joomla! Apprentice
Posts: 13
Joined: Thu Aug 31, 2006 6:18 pm
Location: Norway

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of O

Post by RS|Stian » Thu Aug 31, 2006 6:37 pm

Har nettopp oppgradert fra 1.0.8 til 1.0.11 på websiden min GoFast Productions, og etter dette får ingen logget inn under 'Members Login'. Får følgende melding:  "You are not authorized to view this resource". Hva kommer dette av?

Logger jeg inn på admin-delen står disse sikkerhetsmeldingene:
Following PHP Server Settings are not optimal for Security and it is recommended to change them:

* PHP magic_quotes_gpc setting is `OFF` instead of `ON`
* PHP register_globals setting is `ON` instead of `OFF`
Det sto en sikkerhetsmelding til men denne har jeg fikset, gikk inn i globals.php-fila og endret 'RG_EMULATION' til 0.
Har skjønt at disse PHP-serverinnstillingene kan endres i en fil kalt php.ini, men denne finner jeg ikke noe sted? Finner 'magic_quotes_gpc' og 'register_globals' under System Info/PHP-info, men får ikke endret noe her.

Håper på svar da det er litt irriterende for meg og brukere på sida og ikke kunne logge inn.
Last edited by RS|Stian on Thu Aug 31, 2006 6:41 pm, edited 1 time in total.

User avatar
affien
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Thu Sep 14, 2006 10:13 am
Location: Ryfylke
Contact:

Re: Oppdatert til 1.0.11, sikkerhetsmelding php register-globals On instead of O

Post by affien » Thu Sep 14, 2006 10:39 am

Hei.
Jeg kjører Apache og PHP på RedHat Linux, og her er stien til php.ini som så "/etc/php.ini"

Du kan jo alltids kjøre et søk etter filen? Dersom du er administrator på serveren da...

mvh
Affien
--
mvh
Affien


Locked

Return to “Sikkerhet”