Und passend zu Thema Sicherheit:
Wenn auf einer Domain php5.6 also eine nicht mehr sichere Skriptsprache läuft,wie kann man das am besten absichern neben:
Module abschalten? - aber welche?
Der Support meinte, wenn was wäre, dann würde der Support sich melden, aber man kann ja vorbeugen. Es soll ein Mustergambio mit leerer Kundendatenbank drauf.
Würde ein extra User dafür etwas bringen, falls was wäre, dass man den historischen Mustershop dann einfach neu einspielt?
Hatte auch schon überlegt, den Anti-Aging-Shop hinter eine htaccess zu packen, dass Leute nur nach Anruf auf diese Seiten kommen. Besser als erst ihn auf einer Synnology mit einer Telefonnummer per Wake on Call - Modem hochzufahren...
Der Anti-Aging-Shop hat jedenfalls bei sich selbst versagt, denn er scheint ja ziemlich "gealtert" zu sein. 
Edit: Die Idee mit der .htaccess kann jedenfalls nicht schaden. Eventuell noch das entsprechende fail2ban-Jail (apache-auth) konfigurieren und aktivieren.
Wat?
muss Froxlor unbedingt auf ssl laufen, man kann ja eine Domain zuweisen, aber da wird das SSL-Zertifikat nicht mehr erkannt.
Auf der IP123.123.123.123/froxlor/ läuft frolor ja schliesslich auch. Kann ich das so lassen, wenn das Passwort stark genug ist?
SSL hat nix mit deinem Passwort zu tun. TLS hat genau zwei Aufgaben:
1. Die Verschlüsselung zwischen Server und Client
2. Die Sicherstellung, dass du gerade mit dem richtigen Server kommunizierst (aka der Server weist sich aus)
Wenn dir eines davon wichtig ist, nimm TLS, ansonsten halt nicht. Nichts muss unbedingt auf TLS laufen, genausowenig wie etwas unbedingt auf PHP 5.6 laufen muss.
Es soll ein Mustergambio mit leerer Kundendatenbank drauf.
Extra Server oder Container für solche Sachen, ggf. sogar Read Only, wenn man damit nichts machen soll.
Verstehe mich bitte nicht falsch, aber muss es unbedingt ein eigener Server sein ? Dir fehlt komplett das Wissen, um einen Linux Server zu administrieren. Ich glaube Netcup bietet doch auch Hosting Pakete mit PHP5.6 an.
aber manche Systeme sind einfach auch, wenn sie alt sind in sich schlüssig und redaktionell perfekt.. Nur wegen php umzuziehen, hat da weniger Priorität.
Ohne den Teufel an die Wand malen zu wollen, dass der Shop morgen gehackt wird, etc.
Aber genau in dem Zitat steckt das eigentliche Problem, die Priorität einen Softwarestack aktuell zu halten.
PHP5.6 ist jetzt schon ein paar Jahre durch die Tür und gehört dringend aktualisiert.
Du kannst jetzt Zeit in tausende Workarounds zur vermeintlichen Absicherung stecken oder direkt das Grundproblem angehen und den Stack zu aktualisieren (dies dann am Besten nicht nur einmal, sondern kontinuierlich).
M2C
Ich verstehe nur noch Bahnhof.
Das Login bei servername.de/froxlor - war vorher mit SSL
Das SSL geht aber leider nicht mehr.
Geht nicht mehr ist jetzt nicht die beste Problembeschreibung. War vorher ein Zertifikat installiert, ist das ggf. abgelaufen?
Nutzt du Let's Encrypt.
Kann man failtoban nur über die shell erreichen oder gibts dafür auch einen Menüpunkt?
Hast du über die Shell überhaupt mal Updates installiert? Nur so nebenbei gefragt.
Es geht ja eh um einen Shop mit Zugangsbeschränkung wegen Heilmittelwerbegesetz
Also doch kein Muster Shop?
oha
bei einem Mustershop hätte ich gesagt, mach ne .htaccess davor und gut
aber einen Webshop zu betreiben mit php5.6 und ohne ssl ist grob fahrlässig
da ist es egal wie viele Kunde du hast. Du hast auch eine Verantwortung deinen Kunden gegenüber
und wie du mit deren Daten umgehst.
In der Zeit wo du hier tagelang rumbastelst, kannst du den auch komplett neu aufsetzen
meine 2 Pfennig 
Alles anzeigenOhne den Teufel an die Wand malen zu wollen, dass der Shop morgen gehackt wird, etc.
Aber genau in dem Zitat steckt das eigentliche Problem, die Priorität einen Softwarestack aktuell zu halten.
PHP5.6 ist jetzt schon ein paar Jahre durch die Tür und gehört dringend aktualisiert.
Du kannst jetzt Zeit in tausende Workarounds zur vermeintlichen Absicherung stecken oder direkt das Grundproblem angehen und den Stack zu aktualisieren (dies dann am Besten nicht nur einmal, sondern kontinuierlich).
M2C
Ich hab auch eine geleachte HTML-Version davon, nur ohne internen Bereich. Aber es bringt mich auf die Idee, das System hinter einer HTACESS laufen zu lassen, so dass man sich einloggen kann. Und klar, shopware6 ist in Vorbereitung. Alternativ muss ich nur die mysqlconnect anfragen in mysqli oder pdo umwandeln, aber das dauert.
Kennt ihr eigentlich Beispiele, was so passieren kann mit alten Systemen, gehört.
Alles anzeigenIch verstehe nur noch Bahnhof.
Geht nicht mehr ist jetzt nicht die beste Problembeschreibung. War vorher ein Zertifikat installiert, ist das ggf. abgelaufen?
Nutzt du Let's Encrypt.
Hast du über die Shell überhaupt mal Updates installiert? Nur so nebenbei gefragt.
Also doch kein Muster Shop?
Alles anzeigenoha
bei einem Mustershop hätte ich gesagt, mach ne .htaccess davor und gut
aber einen Webshop zu betreiben mit php5.6 und ohne ssl ist grob fahrlässig
da ist es egal wie viele Kunde du hast. Du hast auch eine Verantwortung deinen Kunden gegenüber
und wie du mit deren Daten umgehst.
In der Zeit wo du hier tagelang rumbastelst, kannst du den auch komplett neu aufsetzen
meine 2 Pfennig
.... Mustershop ist falsch, sollte besser "kundendatenleere Produktinformationsplattform für Bestandsnutzer" heißen.
Alles anzeigenIch verstehe nur noch Bahnhof.
Geht nicht mehr ist jetzt nicht die beste Problembeschreibung. War vorher ein Zertifikat installiert, ist das ggf. abgelaufen?
Nutzt du Let's Encrypt.
Hast du über die Shell überhaupt mal Updates installiert? Nur so nebenbei gefragt.
Also doch kein Muster Shop?
Richtig, der servername.de/froxlor lief mit Lets Encrypt. Jetzt mit IPNUMMER/froxlor.
Eigentlich ist die IP auch ganz recht. Ich wollte halt nur wissen, ob man Froxlor auch durch ssl absichern sollte, sprich ob man extra eine Domain nutzen soll, auf der froxlor dann mit Letsencrypt Zertifikat läuft. Bisher vor 3 Tagen lief es, jetzt erscheint, die Meldung, dass die Zertifikate nicht gültig seien.
Hab mich nur gefragt, froxlor nicht auf der IP laufen kann, ohne SSL
Aber ich könnte ggfs auch noch eine htaccsss davor schalten... stimtm eigentlich
Damits konkret wird:
http://152.89.104.219/
http://152.89.104.219/froxlor/
lief vorher über https://gesundheitsprodukte.org/froxlor (jetzt mit Fehler)Ich vermute auf dier IP sollte einfach eine htaccess davor, dann passt es oder? Ist das zwingend erforderlich?
Kennt ihr eigentlich Beispiele, was so passieren kann mit alten Systemen, gehört.
gar nicht mal soviel
deine Seite wird gehackt, und netcup wird dich in Verantwortung nehmen.
deine Kundendaten werden geklaut und diese Daten dann für irgendwelche
Betrügereien benutzt. Deine Kunden werden sich über Anrufe von dubiosen
Unternehmen freuen, wo sie sich angeblich registriert haben und dann den Satz
hören werden "Natürlich haben sie sich bei uns registriert, ich habe doch hier ihre Daten ,Email und Telefonnummer"
Aber egal packste einfach ne .htaccess davor und gut ist. ist ja abgesichert und so viele Böse gibts ja nicht im Internet
Und woher ich das weiss? Weil ich selbst Opfer eines Datenklau in 2012 bei LastFM war und noch heute meine Daten kursieren
Sollte ich also einer deiner Kunde sein.......... (nee , behalte ich für mich)
Eigentlich warte ich immer einen Tag bevor ich so was schreibe und wenn ich dann morgen genauso denke, antworte ich
aber deine geballte Ahnungslosigkeit erschreckt mich.
Deshalb nochmal mein Appell nimm dir ein Webhosting und ein aktuelles Shopsystem und setze deinen Shop neu auf
das kostet dich 2 Tage incl. Einfügen aller Produkte(ich rechne mal 100) und kündige deinen Server
Damits konkret wird:
Könnte daran liegen, dass die Domain nicht auf die IP 152.89.104.219 sondern auf 87.118.118.135 zeigt
Könnte daran liegen, dass die Domain nicht auf die IP 152.89.104.219 sondern auf 87.118.118.135 zeigt
Herzlichen Dank! Aktualisiert gerade.
Der Anti-Aging-Shop hat jedenfalls bei sich selbst versagt, denn er scheint ja ziemlich "gealtert" zu sein.
Edit: Die Idee mit der .htaccess kann jedenfalls nicht schaden. Eventuell noch das entsprechende fail2ban-Jail (apache-auth) konfigurieren und aktivieren.
Auf dem Mars zählt nicht das Alter, sondern rein, ob man im Dunkeln gut riecht
Wenn ich mir deine Beiträge hier im Forum so anschaue, dann zeigen die mir, dass du von der ganzen Materie "Server" noch nicht so extrem viel Ahnung hast.
Das an sich ist nicht schlimm. Ganz und garmicht. Wir haben alle mal bei Null angefangen.
Problematisch es es allerdings, wenn man, mit nur bruchstückhaftem Wissen, einen Server ins Netz hängt und dann irgendwelche HowTo-Fragmente aus dem Internet 1 zu 1 kopiert, ohne wirklich zu verstehen, was die durchgeführten Befehle eigentlich machen.
Idealerweise sollte man zu jedem Befehl, den man in die shell tippselt auch wissen, was er auslöst, welche Mechanismen da im Hintegrund ablaufen und wie die zusammenhängen.
Ich würde dir also raten, dich zunächst mal mit den Grundlagen all der DInge auseinanderzusetzen, die du hier in Angriff nehmen willst und das dann erst mal lokal, in einer VM zu testen, falls das möglich ist.
Ich weiß, das braucht Zeit und wir sind ja alle ungeduldig (ich auch), aber letzlich ist das der bessere und effektivere Weg, (Und natürlich auch der sicherere)
