Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

noober · 01. September 2011 18:19

Habe die Sicherheitsvorkehrungen wie sie hier im Forum seht gut beschrieben (z.B. http://www.cmsmadesimple.de/forum/viewt … id=18)sind, auf verschiedenen Webseiten ausgeführt. Das einzige Problem ist, dass im BE der Button "Absenden" nicht funktioniert, ich (bzw. die Kunden) arbeiten mit "übernehemen" ....

Folgende Fehlermeldung erscheint bei "Absenden":

---------------------------------------------------------
Forbidden
You don't have permission to access /XXXXXXXX/listcontent.php on this server.
---------------------------------------------------------

Bei Seiten, die ich oder technisch interessierte Kunden pflegen ist das ok so, jetzt kommt ein Projekt mit vielen Leuten, die Texte usw. ändern und eingeben wollen. Hier würde ich gern ein einwandfrei funktionierendes BE zur Verfügung stellen.

listcontent Rechte habe ich via CHmod auf alles mögliche gesetzt ohne Erfolg.
Wo gehe ich weiter vor der der Suche?

NaN · 01. September 2011 20:02

Die Rechte da zu verändern hat keinen Sinn.
Davon würde ich abraten. Normalerweise sollten die CHMOD Rechte mit 755 ausreichen.
(das ist eigentlich schon zu viel, aber bei vielen Providern läuft sonst garnichts)

Also nie, nie, und vor allem NIE einfach irgendwas auf 777 setzen!
Außer dem uploads-Verzeichnis und dem tmp-Verzeichnis braucht man nirgends, nirgends und nirgends SCHREIBrechte !

D.h. uploads- und tmp-Verzeichnis können CHMOD 777 haben.
Alle anderen Verzeichnisse höchstens, höchstens aber allenfalls höchstens 755.
(Für Dateien 644. HÖCHSTENS!)

Welche Schritte genau hast Du unternommen?
Hast Du evtl. in irgendeiner .htaccess-Datei den Zugriff auf Dateien verboten?
Wenn ja, wo sind diese .htaccess-Dateien und was genau steht dort drin?

noober · 02. September 2011 11:48

Ich habe die CHMOD Rechte wieder zurückgestellt.

.htaccess sieht so aus bei mir (verstehen tue ich das größtenteils nur rudimentär):

-----------------------------------------------------------------------------------------
# BEGIN Optional settings
# Turns off directory browsing
# not absolutely essential, but keeps people from snooping around without
# needing empty index.html files everywhere
Options -Indexes
# No sense advertising what we are running
ServerSignature Off
# END Optional Settings

# Attempt to override some php settings, these settings may be helpful on some hosts if your
# default configuration does not meet CMS's minimum requirements, and your host
# has given your account appropriate permissions
#php_value upload_max_filesize "10M"
#php_value session_save_path "tmp/cache"

#php_flag magic_quotes_gpc Off
#php_flag register_globals Off
#php_flag session.use_trans_sid Off

# (this is important, so uncomment if your host permit)
Options -Indexes
ServerSignature Off

# Deny access to config.php and CHANGELOG.txt
# The former can be useful if php ever breaks or dies
# Use with caution, this may break other functions of CMSms that use a config.php
# file. This may also break other programs you have running under your CMSms
# install that use config.php. You may need to add another .htaccess file to those
# directories to specifically allow config.php.

<Files ~ "config.php|CHANGELOG.txt">
order allow,deny
deny from all
</Files>

<Files ~ "tinyconfig.php">
order allow,deny
allow from all
</Files>

Options +FollowSymLinks
RewriteEngine on
RewriteBase /

# unterbindet, das fremde Seiten geladen werden
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
# blockiert libwww (Ausgangspunkt für diverse Hackversuche)
RewriteCond %{HTTP_USER_AGENT} ^libwww [OR]
# Blockiert Skripte, die versuchen, base64 encodierten Unsinn via URL zu versenden
RewriteCond %{QUERY_STRING} base64_encode.*$.*$ [OR]
# Blockiert Skripte, die einen a ********** Tag in der URL enthalten
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Blockiert Skripte, die versuchen, PHP GLOBALS Variablen via URL zu verändern
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Blockiert Skripte, die versuchen, eine _REQUEST Variable via URL zu verändern
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC,OR]
# Query String Exploits
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\[|\]|\)|\*|%0|%A|%B|%C|%D|%E|%F|%0A|%0D|%22|%27|%3C|%3E|%5C|%7B|%7C|%00|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|request|union|select|insert|cast|set|declare|drop|update|md5|benchmark|loopback).* [NC,OR]
# if the URI contains a "<script>"
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|'>|'<|/|\\\.\.\\).{0,9999}.* [NC,OR]

# Spambots nach User_agent aussperren
RewriteCond %{HTTP_USER_AGENT} ^.*Whacker.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*FileHound.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*TurnitinBot.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*JoBo.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*adressendeutschland.*$
RewriteRule ^.* - [F]

# 301 Redirect all requests that don't contain a dot or trailing slash to
# include a trailing slash
# RewriteCond %{REQUEST_URI} !/$
# RewriteCond %{REQUEST_URI} !\.
# RewriteRule ^(.*) %{REQUEST_URI}/ [R=301,L]

# Rewrites urls in the form of /parent/child/
# but only rewrites if the requested URL is not a file or directory
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+).htm$ index.php?page=$1 [QSA]

---------------------------------------------------------------------------------------

Andynium · 04. September 2011 23:01

Welche CMSMS-Version verwendest du?

noober · 05. September 2011 08:13

CMS-Version
1.9.4.2

der Fehler tritt/trat aber auch bei älteren Versionen (bis 1.6....) auf

Andynium · 05. September 2011 10:41

Funktioniert es mit deaktivierter htaccess?

noober · 05. September 2011 10:47

ja, ohne .htaccess gehts

nockenfell · 05. September 2011 10:59

Dann baue die .htaccess mal eines nach dem anderen auf. Dann findest du irgendwann den Zeitpunkt wo es hakt. Beginne mal mit

Hier klicken, um den Code zum Kopieren zu markieren

RewriteEngine on
RewriteBase /

# Rewrites urls in the form of /parent/child/
# but only rewrites if the requested URL is not a file or directory
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+).htm$ index.php?page=$1 [QSA]

Forum für CMS/made simple

#1 01. September 2011 18:19

Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#2 01. September 2011 20:02

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#3 02. September 2011 11:48

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#4 04. September 2011 23:01

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#5 05. September 2011 08:13

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#6 05. September 2011 10:41

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#7 05. September 2011 10:47

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

#8 05. September 2011 10:59

Re: Sicherheitseinstellungen lt. Anleitung - kein Absenden im BE möglich

Fußzeile des Forums