PHP register_globals setting

Diskutera frågor rörande installation, backup och säkerhet avseende Joomla! 1.0.

Moderators: Zello, chrille

Forum rules
Forumregler
Locked
User avatar
ibkelfhog
Joomla! Fledgling
Joomla! Fledgling
Posts: 2
Joined: Mon Jan 16, 2006 11:11 pm

PHP register_globals setting

Post by ibkelfhog » Sun Sep 03, 2006 12:18 am

Efter uppdatering till 1.0.11 får jag följande felmeddelande i kontrollpanelen.
Är det i någon fil som jag ska ändra inställningen?


Following PHP Server Settings are not optimal for Security and it is recommended to change them:

    * PHP register_globals setting is `ON` instead of `OFF`


Fick även samma meddelande angående  RG_EMULATION, men det är åtgärdat nu tack vare tidigare inlägg.

User avatar
LorenzoG
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 3010
Joined: Fri Aug 19, 2005 8:46 am
Location: Stockholm, Sweden

Re: PHP register_globals setting

Post by LorenzoG » Sun Sep 03, 2006 6:52 am

Denna nya inställlningskontroll har tillkommit i den senaste Joomla! 1.0.11. Detta för att hjälpa och identifiera för användaren så att denne kan se om det finns inställningar som inte är så lyckade ur säkerhetsperspektiv. Dessa meddelanden ska dock ses som rekommendationer och inga felmeddelanden.

Register globals är en mycket stor säkerhetsrisk, register globals innebär att all data man skickar in antingen via get, post och cookies automatiskt görs om till variabler. Detta gör att hackare kan utnyttja dålig skriven kod i vissa tredjeparts komponenter och på sätt hacka sig in i Joomla!. Joomla behöver inte register globals, och är det någon äldre komponent som behöver detta så kan Joomla emulera detta med RG_EMULATION.

I princip nästan alla hacker attacker mot dåligt skrivna tredjepartskomponenter som vi har haft nu i höst hade inte fugerat om användarna hade haft register globals satt till Off.  Det rekommenderas därför starkt, om möjligt att ni försöker ändra denna inställning.

Om ni kör en egen webserver så ändras detta i php.ini filen:
register_globals = 0

För er som har ett konto i webhotell. Normalt är det webhotellet som måste ändra på detta och jag rekommenderar att ni tar kontakt med dem. Vissa webhotell tillåter att användaren ändrar denna inställning själva och det görs via .htaccess filen. För att kunna ändra denna inställning via .htaccess krävs att AllowOverride Options är på i ditt webhotells webserver och att de kör apache.

Lägg då till följande rad i .htaccess
php_flag register_globals off

danne
Joomla! Intern
Joomla! Intern
Posts: 69
Joined: Tue Sep 27, 2005 8:06 pm

Re: PHP register_globals setting

Post by danne » Sun Sep 03, 2006 3:27 pm

Jag har Manufrogs webbhotell som kör med phpsuexec och där var jag tvungen att lägga till "register_globals = Off" i php.ini filen.

Dessutom måste jag lägga en kopia på den php.ini filen i ALLA mappar som joomla använder för att register_globals_off ska gälla.

Som tur är finns det ett bra script för detta som annars kan vara rätt tidsödande om man gör det manuellt.


http://tips-scripts.com/?tip=php_ini
http://tips-scripts.com/?tip=php_ini_copy
http://tips-scripts.com/?tip=php_ini_delete

Tråden där det diskuteras om detta: http://forum.joomla.org/index.php/topic,75990.0.html

User avatar
iblogger
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 210
Joined: Thu Aug 18, 2005 12:29 pm
Location: Stockholm

Re: PHP register_globals setting

Post by iblogger » Mon Sep 11, 2006 7:44 am

ja snurrigt är det, varför kan man inte göra denna register globals ändring via backend admin eller åtminstone lika enkelt som att ändra rg...

denna tråd är intressant också:
http://forum.joomla.org/index.php/topic,81058.0.html

User avatar
iblogger
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 210
Joined: Thu Aug 18, 2005 12:29 pm
Location: Stockholm

Re: PHP register_globals setting

Post by iblogger » Wed Sep 13, 2006 6:02 am

Hej, på en "hemlig" testinstallation så gjorde jag dessa förändringar:

ändrade i globals.php rg emulationen från 1 till 0

skapade en php.ini fil med texten: register_globals = off

den la jag i samma mapp som config och andra filer, jag la den även i administrator mappen.

Redan vid dessa ändringar så fick jag grön flagg i adminpanelen, är det en bugg att joomla
inte känner av att det finns en php.ini fil i alla mappar eller räcker det med dessa åtgärder?

en följd fråga då:

varför kan man inte redan i grundinstalltionen via backend göra dessa inställingar i en php.ini eller .hraccess fil, eftersom man kan ändra andra saker så smidigt?

User avatar
LorenzoG
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 3010
Joined: Fri Aug 19, 2005 8:46 am
Location: Stockholm, Sweden

Re: PHP register_globals setting

Post by LorenzoG » Thu Sep 14, 2006 12:17 pm

iblogger wrote: skapade en php.ini fil med texten: register_globals = off
den la jag i samma mapp som config och andra filer, jag la den även i administrator mappen.
Jag tycker att det låter konstigt. Normalt ska du inte kunna lägga en php.ini fil och få php inställningrna att ändra sig. Men vem vet, din webleverantör har kanske gjort någon koppling att den känner av om det finns någon php.ini fil i din folder och tillåter vissa ändringar.

Normalt, om användaren själv kan styra denna funktion, så sker det med .htaccess (se tidigare post).

Du kan kontrollera om ändringarna går igenom med följande php-fil:

phpinfo.php
Leta sen rätt på följande rad:
register_globals

..och den nuvarande inställningen presenteras i local value kolumnen.


Locked

Return to “Installation, backup och säkerhet”