test.php -> index.php

  • App
    WoltLab Suite Core

    Mann könnte doch die test.php offiziell als index.php nutzen... Es hätte den Vorteil, dass man nicht in die Adresszeile die Dateinamen eingeben muss! Beispiel:

    meinedomain.de würde dann sozusagen die test.php sein, da diese jedoch index.php heißt, reicht es, einfach nur die Domain oder IP selbst aufzurufen...

  • Das heißt du willst, dass automatisch jeder (Unberechtigte) direkt auf dem Silbertablett die Installation für Software serviert bekommt, statt der Fehlermeldung, dass auf der Domain (noch) nichts vorhanden ist?

    • Offizieller Beitrag

    Die Idee an den separaten Namen ist, dass die Installation nicht unbeabsichtigt durch eine Suchmaschine aufgerufen wird. In der test.php wird ein Verweis auf die install.php gesetzt, den die Suchmaschine aufrufen würde (rel="nofollow" hält Bots davon nicht ab!).

    Davon ab installiert man nicht täglich - in der WoltLab Cloud kommt man damit sogar gar nicht erst in Kontakt ;)

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Alexander Ebert 30. Dezember 2021 um 16:05

    Hat das Label Nicht geplant hinzugefügt.
  • Naja ich glaube jetzt dass irgendwer durchs Netz hüpft und woltlab Installation bzw Index.php sucht. Auch wenn ich weiß was es für Auswirkungen haben könnte.

  • Als Beispiel (ohne WoltLab installieren zu wollen, was ohne Datenbank schlecht geht 😅)?

    Man kann jederzeit einen eigenen Datenbankserver verwenden und diesen von außen erreichbar zu machen.

    Letztendlich ermöglichst du dazu jeden ohne großen Aufwand, auf deiner Domain beliebige Inhalte zu veröffentlichen. Da ist Spam noch das geringste Problem, Phishing und damit Datendiebstahl ist da schon schwieriger.

    Und nicht zuletzt bist du dafür verantwortlich, was unter deiner Domain passiert.

  • Man kann jederzeit einen eigenen Datenbankserver verwenden und diesen von außen erreichbar zu machen.

    Letztendlich ermöglichst du dazu jeden ohne großen Aufwand, auf deiner Domain beliebige Inhalte zu veröffentlichen. Da ist Spam noch das geringste Problem, Phishing und damit Datendiebstahl ist da schon schwieriger.

    Und nicht zuletzt bist du dafür verantwortlich, was unter deiner Domain passiert.

    Hmm, doch wer würde sich dafür die Mühen machen? Nun ja, hobbylose haben da ja alle Zeit der Welt 🤣

  • Naja ich glaube jetzt (nicht) dass irgendwer durchs Netz hüpft und woltlab Installation bzw Index.php sucht. Auch wenn ich weiß was es für Auswirkungen haben könnte.

    Da kenne ich eher das Gegenteil: Zu Zeiten des MySQLDumpers gab es genug Vögel im Netz, die pausenlos nach Installationen unbedarfter Admins suchten, die (aus welchen unerfindlichen Gründen auch immer) Ihren Dumper (und damit praktisch die Datenbank) nicht via .htaccess/.htpasswd gesichert hatten.

    Das war zwar noch verheerender als dieses Beispiel hier, da dann sofort voller Datenbank-Zugriff bestand, aber vom Ansatz dasselbe. Man muss es diesen Leuten nicht noch absichtlich leichter machen.

    Eine "index.php" bzw. "index.htm(l)" etc. ist mit das Erste, was überhaupt von Bots und "bösen Menschen" gesucht wird bzw. womit eine Domain standardmäßig aufgerufen wird.

    Warum also sollte man ausgerechnet ein Script, das ausschließlich zu (Vorab-) Testzwecken dient, derart umbenennen und somit sensible Daten auf dem Silbertablett präsentieren? Ich halte davon so überhaupt gar nichts.

    Abgesehen davon, dass auch ein Admin, der eine Software nicht selber geschrieben hat, auf den ersten Blick nachvollziehen können sollte, welche Aufgabe eine einzelne Datei hat. Und da ist eine "test.php" nun mal eindeutig keine "index.php".

    Gruß

    Jörg

    (Jaydee)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!