Das längste Thema

Abmahnung nach DSGVO u.a. wg. Google Webfonts:

Das ist sooooo der Humbug. Genau wie mit Cookies. Der Client ist doch in der Lage Cookies oder externe Requests abzulehnen. Ich als Anbieter gebe da überhaupt keine Daten weiter... Mal sehen

Zitat von Hecke29

Abmahnung nach DSGVO u.a. wg. Google Webfonts:

Das ist sooooo der Humbug.

leider nein, es ist eine Frage der Sichtweise ..., sehr wohl bist Du als Seitenbetreiber dafür verantwortlich, wenn User genötigt werden,

"Daten" an Dritte weiterzugeben ..., es ist ja schließlich nicht offensichtlich,

wenn da in der Browserleiste z.B. http://www.company.de/ steht, daß hier kein Google-Schrott integriert ist ...

analoges gilt f. Facebook's "Like" Button;

Websites die ohne diesem Pfusch auskommen, sind mittlerweile Mangelware ...

die ersten Seiten gibt es bereits, die einem aussperren, wenn man Werbung - diese kommt von Drittserver - blockiert ...

Hat hier jemand von euch ein Synology im Einsatz und kann mir folgende Frage beantworten:

Wenn ich es richtig verstanden habe ist das DSM auf den Hdds gespeichert.

Angenommen ich tue meine aktuellen HDDs raus und setze 2 neue ein.

Nun führe ich eine "Erstinstallation" durch, mache Konfigurationen etc. Jetzt nehme ich die 2 neuen HDDs wieder raus und tue die 2 alten HDDs wieder rein.

Habe ich dann mein gesamtes ursprüngliches System?

peng Wenn die Diskstation nur zwei HDDs hat, Du also alle entfernst, dann eindeutig JA!

Aber Vorsicht: Die Geräte haben einen internen Flashchip auf dem u.a. der Bootloader, ein minimales Linuxsystem (inkl. Kernel) für die Erstinstallation und einige Konfigurationen (S/N, MAC-Adresse, …) liegen. Damit alles einwandfrei klappt, solltest Du unbedingt die exakt gleiche Version vom DSM verwenden! Das gilt für alle Aktionen, wo man Festplatten unabhängig vom Gerät wechselt. Andernfalls kann es böse Überraschungen geben. Und da aktuelle DSM-Versionen meines Wissens ein manuelles Downgrade über SSH nur noch schwer bis gar nicht unterstützen, muss man sehr vorsichtig sein.

Wenn Du auf die identische DSM-Version achtest und kein Update durchführst, sollte alles in Butter sein!

netcup Habt ihr ein internes (permanentes) Log, wann DNSSEC für eine Domain de-/aktiviert wurde?

Ich könnte schwören, dass ich das bei allen Domains (die DNS-Records haben) vor langer Zeit aktiviert hatte. Bei zwei war es jetzt allerdings inaktiv. Da ich mir nicht 100% sicher bin, weiß ich nicht, ob das ein Bug in der API ist oder nicht. Den Support will ich deswegen nicht extra nerven, wenn es das gewünschte Protokoll vielleicht gar nicht gibt.

Falls mir das nochmals auffällt, melde ich mich natürlich. Jetzt bin ich mir nämlich sicher, dass DNSSEC aktiv sein sollte!

Edit: Es ist schon wieder passiert. Das sieht stark nach einem Bug aus, ausgelöst durch die API-Anfragen. [Ticket #2018052910004168]

Zitat von Hecke29

Also so in etwa https://example.org/index.php?s=index

Eine Endlosschleife über HTTP – #ymmd

Zitat von killerbees19

Eine Endlosschleife über HTTP – #ymmd

Ich hab ihm ja grade das hier empfohlen:

Zitat von Hecke29

bitte durch

Code

if(str_pos(realpath("$seite.php"), __DIR__) !== false) {
  require("$seite.php");
}

Damit wird zumindest sichergestellt, dass nur Dateien aus dem Verzeichnis (und Unterverzeichnissen) eingebunden werden können.

Jetzt hab ich mir eben ein neues Glas Wein geholt und dabei darüber nachgedacht, was wäre, wenn ich jetzt ?s=http://example.org/var/www/34563456.af.netcup.de/customer19824379578/httpdocs/example.com/evil.php aufrufe

Zitat von Hecke29

Ich hab ihm ja grade das hier empfohlen:

Die Funktion heißt strpos, nicht str_pos. Außerdem kann realpath als Rückgabewert false liefern. Ich weiß nicht wie strpos reagiert, wenn es ein false statt eines Strings als erstes Argument bekommt. Würde das vorher prüfen.

<adrian monk>Außerdem bitte ordentliches String Konkatenieren nutzen. Sprich: var_dump("foo".$bar);</adrian monk>

Zitat von perryflynn

Ich weiß nicht wie strpos reagiert, wenn es ein false statt eines Strings als erstes Argument bekommt. Würde das vorher prüfen.

Ha, das hab ich vor der Antwort sogar in der CLI getestet Aber da ist mir nicht aufgefallen, dass da n _ zu viel in meiner Antwort ist

realpath gibt bei URLs übrigens ebenfalls false zurück, also geht mein Workaround nicht.

Jap. Deswegen würde ich das so machen (blind geschrieben):

<?php

$pagesfolder = __DIR__."/pages/";
$site = null;
if(isset($_GET['site']) && is_string($_GET['site']) &&
    !empty($_GET['site']))
{
    $site = trim($_GET['site']);
}

$fullpath = null;
if($site!==null)
{
    $fullpath = realpath($pagesfolder.$site.".php");
}

if(is_string($fullpath) && !empty($fullpath) &&
    strpos($fullpath, $pagesfolder)===0)
{
    include($fullpath);
}
else
{
   // 404 Not Found
}

Man beachte die drei Gleichzeichen beim strpos. Ein Typesafe Vergleich.

Außerdem kann ein GET Parameter auch ein Array sein. Deswegen sollte man auch das abfangen.

Die HTTP-Include Variante habe ich schon ausprobiert, funktioniert nicht.

Afaik ist das zum Glück per Default im Webhosting deaktiviert.

Zitat von Hecke29

Da blickt ja kein Mensch durch bei den str-Funktionen von PHP

Zitat von perryflynn

Jap. Deswegen würde ich das so machen (blind geschrieben):

PHP

<?php

$pagesfolder = __DIR__."/pages/";
$site = null;
if(isset($_GET['site']) && is_string($_GET['site']) &&
    !empty($_GET['site']))
{
    $site = trim($_GET['site']);
}

$fullpath = null;
if($site!==null)
{
    $fullpath = realpath($pagesfolder.$site.".php");
}

if(is_string($fullpath) && !empty($fullpath) &&
    strpos($fullpath, $pagesfolder)===0)
{
    include($fullpath);
}
else
{
   // 404 Not Found
}

Alles anzeigen

Man beachte die drei Gleichzeichen beim strpos. Ein Typesafe Vergleich.

Außerdem kann ein GET Parameter auch ein Array sein. Deswegen sollte man auch das abfangen.

Ja gut, ich wollte die Welt nur ein bisschen besser machen und da jetzt keine Proof-Methode anbieten

Mit solchem Code hab ich dankenswerterweise auch nicht mehr oft zu tun

Ja, ich bin mittlerweile sehr paranoid was solche Sachen angeht. Gerade wenn die Ergebnisse solcher Basteleien anschließend Jahrelang unbeobachtet rumidlen machen sich so aufwändige Checks bezahlt. Senkt einfach den Wartungsaufwand erheblich.

https://www.pro-linux.de/news/…ng-f%C3%BCr-debian-7.html

Bye Bye Wheezy.

Hello Extended LTS: https://deb.freexian.com/extended-lts/.

Ob man dem trauen will, ist aber eine andere Frage…

Zitat von Loxley

Ob man dem trauen will, ist aber eine andere Frage…

Sowieso fraglich so lange auf einer Uralten Version rum zu hängen. Mal von Supersonderspezialsoftware abgesehen...

Zitat von Loxley

Hello Extended LTS: https://deb.freexian.com/extended-lts/.

Ob man dem trauen will, ist aber eine andere Frage…

Aber nur, wenn man auch zurück auf init.d anstatt systemd gehen kann. Alles andere ist ja ein frevel sondergleichen!!!!

Zitat von vmk

Aber nur, wenn man auch zurück auf init.d anstatt systemd gehen kann. Alles andere ist ja ein frevel sondergleichen!!!!

welche Distri die momentan noch f. mind. 5 Jahre supported wird, hat denn init.d und nicht das grauenvolle systemd?

Gerade mal den RS 500 angeguckt. Die 240GB SAS stehen voll zur Verfügung, oder nur 120, dank Raid?

Bin mir noch nicht ganz sicher. Preis Leistung scheint mir relativ gut zu sein, quasi als Mailserver + kleine Nextcloud.

Oder sollte man warten, ... WM ist im Anmarsch und da wird sicherlich das ein oder andere interessante Sonderangebot von Seiten netcups kommen.

Wer ne Empfehlung?

Zitat von geekmonkey

Die 240GB SAS stehen voll zur Verfügung, oder nur 120, dank Raid?

Hier wird der Server mit 4 x 120GB beworben, was dann die dort die 240GB ergibt