Hallo zusammen, ich möchte mal wissen, in wie weit Shopware allow_url_fopen verwendet, da ich da gewisse Sicherheitsbedenken habe, diese Option auf dem Server zu aktivieren. Snd meine Bedenken unbegründet? Viele Grüße
Wenn man entsprechende Input Filter korrekt einsetzt, gibt es eigentlich so erst einmal keinerlei Bedenken. Aber jeder User mit entsprechenden allow_url_fopen kann eben Dateien über sein Skript per remote abrufen/downloaden und Schadecode und/oder Schaden hinzufügen. Wenn du allerdings URLs holen möchtest sollte man hier auch anstatt allow_url_fopen curl verwenden. Somit kann man eigentlich allow_url_fopen deaktivieren und das Sicherheitsrisiko minimieren. Wofür brauchst du es?
Habe es standardmäßig deaktiviert. Shopware will es aktiviert haben, läuft aber auch ohne.
[quote=“mwhardware”]Habe es standardmäßig deaktiviert. Shopware will es aktiviert haben, läuft aber auch ohne.[/quote] Kann sein, dass Shopware es für das automatische Update oder ähnl. benötigt. Bin mir da aber gerade nicht sicher.
Hi, in der Vergangenheit war es mit allow_url_fopen auch möglich, remote Skripte zu includen. Seit PHP 5.2.0 kann das über allow_url_include zusätzlich gesteuert werden (ist im Standard auch deaktiviert, also alles gut), so dass das davon unabhängig ist. [quote]Aber jeder User mit entsprechenden allow_url_fopen kann eben Dateien über sein Skript per remote abrufen/downloaden und Schadecode und/oder Schaden hinzufügen [/quote] Naja, wenn jemand Code auf deinem Server ausführen kann, hat der auch ohne allow_url_fopen alle Möglichkeiten, Unfug zu betreiben. Dann nimmt er halt Sockets oder Guzzle bzw. Curl oder sowas. Besten Gruß, Daniel