Umstellung von IIS auf apache - Probleme

Dieses Thema Umstellung von IIS auf apache - Probleme im Forum "Webentwicklung, Hosting & Programmierung" wurde erstellt von Joshua, 14. Jan. 2005.

Thema: Umstellung von IIS auf apache - Probleme Moin Gemeinde ! Ich plane die Umstellung meines Webservers von IIS5 auf Version 2.x des Indianers - zum Testen hab...

  1. Moin Gemeinde !

    Ich plane die Umstellung meines Webservers von IIS5 auf Version 2.x des Indianers - zum Testen hab ich auf meinem Notebook XAMPP 1.4.11 installiert, was mittlerweile auch ausgezeichnet funktioniert.

    Aber wie so üblich gibts ein paar Probleme:
    Hier existiert eine Anwendung, die ich künfitg gerne via https zur Verfügung stellen möchte und die einen PHP-Login verwendet (User sind in einer mySQL-Datenbank abgelegt). Da die Anwendung mit globalen Variablen arbeitet, habe ich in der php.ini den Wert register_globals bereits auf on gestellt. Die Anwendung wirft dem User beim Aufruf ein Cookie zu.

    Ich habe nun also vom Live-System die Datenbank auf mein Notebook gezogen sowie die Anwendung an sich, in den config-Dateien die Zugriffsdaten für die Datenbank geändert usw. Damit ich nicht mit localhost experimentieren muss, habe ich auf unserem DNS-Server schnell die Zone testumgebung.local eingerichtet und nen Hostnamen (dev), der auf mein Notebook zeigt.

    Der SSL-Aufruf der Seite dev.testumgebung.local klappt sowohl mit dem IE6 als auch mit dem Firefox, der Login hingegen NUR mit dem Firefox. Was dabei auffällt: Besuche ich die Site mit dem Firefox, erhalte ich das Cookie. Benutze ich hingegen den IE, wird mir kein Cookie zugeworfen, daher klappt wohl auch die Anmeldung nicht.

    Mir stellt sich nun die Frage, warum der Indianer ein Cookie erhält, während der IE leer ausgeht. Die Einstellungen im IE unter Datenschutz habe ich natürlich schon durchgeschaut, alle Cookies gelöscht, die Sites alle entfernt; die Einstellung zur Annahme von Cookies steht bei beiden Browsern auf Eingabeaufforderung.

    Was unterscheidet die beiden Browser in dieser Beziehung ?!?
    Btw, das Einloggen mit dem IE auf anderen Sites wie hier im Forum klappt einwandfrei, die Cookie-Behandlung als solche kann also eigentlich nicht die Fehlerursache sein. Davon abgesehen klappt der Zugriff mit dem IE auf die Live-Anwendung ganz problemlos, von dort erhält der IE das benötigte Cookie.

    Ich habe keinen blassen Dunst, wo ich hier anfangen soll zu suchen und hoffe auf euren Erfahrungsschatz.
    Thx in advance !

    Cheers,
    Joshua
     
  2. *aarrrgghh*
    Jetzt wird es verworren:
    Ich habe nun mal spasseshalber via https://localhost mit dem IE6 auf die Anwendung zugegriffen:
    Cookie wird mir keines angeboten, aber die Anmeldung klappt jetzt.....
    Check von Temporary Internet Files bzw. Register Datenschutz zeigt auch, das tatsächlich kein Cookie vergeben wurde.....

    Selbiges mit dem Firefox ausprobiert (Zugriff via localhost):
    Verweigere ich die Annahme des Cookies => keine Anmeldung möglich..

    Nun blick ich gar nix mehr.

    Cheers,
    Joshua
     
  3. Hi Joshua,

    geht es zufälligerweise um die Admin-Konsole des im letzten Thread von dir erwähnten Programm´s, wenn ja könnte ich das Szenario mal durchspielen???

    gruss conny
     
  4. @Conny:
    Nein, Mambo läuft bereits (darum ging es ja im letzten Thread).

    Hier geht es um eine komplett selbst (von meinen Kollegen) erstellte Anwendung, deren Quellcode ich nicht offenlegen kann und darf. Ich weiss, das das die Sache erheblich verkompliziert, aber prinzipiell ging es mir erstmal darum herauszufinden, warum der IE kein Cookie angeboten bekommt, der Indianer hingegen schon.

    Cheers,
    Joshua
     
  5. Hmmm, das Problem mit den Cookies kenne ich von diversen Forensoftwaren wie PHPBB und WBB. Die Foren haben allesamt ein Problem mit dem dümmlichen Cookie Pfad. Ich habe bei 2 Foren jeweils gleiches Verhalten gesehen. Will heißen sobald man dort einen Cookie Pfad deffiniert spinnen die Foren rum und legen keine oder nur zeitweise Cookies ab. Irgendwie hat das wohl bisher keiner vernünftig/zufriedenstellen gelöst. Natürlich hilft dir das nicht direkt weiter, aber ich würde mal schauen ob es nicht vieleicht an der Anwendung liegt und weniger an der Konfiguration des Webservers. Außerdem würde ich DRINGEND dazu anraten Register Globals auf OFF zu schalten und die Anwendung dahingehend zu überarbeiten. Denn ein LOGIN System zu schreiben das mit Register Globals ON arbeitet ist Security by Obscurity. Stichtwort manipulieren von Übergabewerten. Zugegeben, hilfreich wird das jetzt nicht sein, aber IMHO sollte erstmal die Andwendung so funktionabel sein das Sie sich einwandfrei portieren lässt und halbwegs dicht gemacht wurde (was Sicherheitslücken angeht) bevor man sich die Mühe macht eine Umstellung des Webservers vorzunehmen.
     
  6. @Gandalf:
    Danke für den Hinweis - das mit den register_globals ist mir bekannt, wird auch noch geändert. Primär ist mir aber wichtig, das die Anwendung auf dem Indianer zuverlässig läuft (mom halt nur von intern erreichbar) und erst wenn das gegeben ist, mache ich mir die Mühe und baue um. Ich habe momentan noch keinen Überblick, was evtl. noch umgebaut werden muss, das ergibt sich ja dann ;-)

    An der Anwendung an sich kann es nicht liegen - auf dem IIS läuft sie einwandfrei und wirft sowohl dem IE als auch allen anderen Browsern ein Cookie zu, auf dem Apache eben nicht. Der Quellcode ist ja 100% identisch (naja, 99,5% - die config-Dateien hab ich logischerweise angepasst).

    Ich stellt das jetzt lokal erstmal auf normales http um, evtl. komme ich dann weiter. Und denn Cookie-Pfad werde ich mir auch nochmal genauer anschauen....

    Cheers,
    Joshua
     
  7. Hallo Joshua,

    Werden sowohl das Vhost als auch das Auth Modul geladen ???
    Das Modul setenvif sollte ebenfalls geladen werden und folgendes in der httpd.conf stehen:
    Code:
    <IfModule mod_setenvif.c>
        BrowserMatch Mozilla/2 nokeepalive
        BrowserMatch MSIE 4\.0b2; nokeepalive downgrade-1.0 force-response-1.0
        BrowserMatch RealPlayer 4\.0 force-response-1.0
        BrowserMatch Java/1\.0 force-response-1.0
        BrowserMatch JDK/1\.0 force-response-1.0
    </IfModule>
    
    und da der IE mit http1.1 nicht wirklich gut zurecht kommt, zusätzlich das hier:

    Code:
    <VirtualHost xxxxxx:443>
        ...............................
        SetEnvIf User-Agent .*MSIE.* \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0
        ...............................
    </VirtualHost>
    
    By the Way, Du solltest IMHO genügend Ahnung von der Materie haben, das Du register_globals NICHT aktivierst. Das entspricht in etwa der Bekanntgabe des root/Administrator-Passworts. Vor allem bei den momentan kursierenden PHP Exploids...

    Ahja... und noch ne kleine Schutzmaßnahme gegen die PHP Exploids:

    Code:
    RewriteEngine On
    RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
    RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
    RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
    RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
    RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
    RewriteRule ^.*$ [url]http://127.0.0.1/[/url] [L,R=301]
    
    Gruß
    Sven
     
  8. @Raven:
    Ich muss zu meiner Schande gestehen, das ich im Bezug auf Indianer-Konfiguration ein fast völliger Noob bin ;-)
    Deinem Vorschlag folgend funktioniert das hier

    Code:
    <VirtualHost xxxxxx:443>
      ...............................
      SetEnvIf User-Agent .*MSIE.* \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0
      ...............................
    </VirtualHost>
    
    logischerweise erst, wenn ich die mod_setenvif.c in der httpd.conf eintrage - dummerweise finde ich mod_setenvif.c nicht, ergo kann ich es nicht einbinden....

    Um nochmal auf register_globals zurückzukommen:
    Ich habe die Anwendung nicht programmiert, das war ein Ex-Kollege - ich habe mir nur vorgenommen, vom IIS auf den Apache umzusteigen, von daher muss ich mich jetzt halt damit auseinandersetzen. Das register_globals ein Sicherheitsproblem ist, ist mir durchaus bewusst, aber wie vorhin schon erwähnt: primär muss die Umsetzung auf den Indianer klappen, dann kommt der Rest.....


    @all:
    Ich rufe die o.g. Anwendung nun wieder über normales http auf - ohne Änderung. IE bekommt kein Cookie und die Anmeldung klappt nur über den localhost, während der Firefox einwandfrei funktioniert.

    Cheers,
    Joshua
     
  9. Hi Joshua,

    lies mal hier:
    Apache Dokumentation

    Ansonsten denke ich, das es Probleme mit der PHP Session gibt. Mehr Info's HIER - speziell die Einstellungen session.save_path und session.cookie_path in der php.ini.

    Gruß
    Sven
     
  10. Thx Raven - da hatte ich mich auch schon durchgehangelt, leider bisher ohne nennenswerten Erfolg.

    Cheers,
    Joshua
     
Die Seite wird geladen...

Umstellung von IIS auf apache - Probleme - Ähnliche Themen

Forum Datum
Lautsprecher nach W10-Umstellung 'verschwunden' Windows 10 Forum 4. Juli 2016
Registry-Sicherung vom 32 Bit-System nach Umstellung auf 64 bit aufspiel- bzw. nutzbar? Windows 7 Forum 29. Apr. 2016
Umstellung Windows 8 zu 8.1 Windows 8 Forum 4. Apr. 2015
Windows 8.1 - wie blockiere ich manuelle Zeitumstellung bei Standardbenutzern? Windows 8 Forum 19. März 2015
Umstellung XP-Win7 Windows XP Forum 2. Apr. 2014