Mit Wildcard * Datei lokalisieren
- Tommy Herrmann
- Site Admin
- Beiträge: 5797
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Mit Wildcard * Datei lokalisieren
Hallo,
ich hatte schon vor langer Zeit mal feststellen müssen, dass es für mich kein Problem ist eine umbenannte Datei dennoch am Server zu finden.
Kann es sein, dass das nur geht, wenn man kein SSL-Zertifikat verwendet (also kein HTTPS). Es geht bei mir eben auch nur bei einer Domain ohne so ein Zertifikat.
Es wird immer wieder von anderen empfohlen die Projekt-Datei von Mobirise umzubenennen, damit man eben die dort eventuell sensiblen Daten nicht durch einfachen Download einsehen kann.
Ich empfehle das nicht, ich habe immer empfohlen diese Datei entweder am Server zu löschen oder (besser) über eine .htaccess Datei zu schützen. Es kann nämlich sehr wichtig werden, diese Datei am Server in aktueller Form zu haben.
Beispiel:
Ich benenne die Datei: "project.mobirise" am Server um in:
project.mobirise.20230305
Ich habe diese Datei nun so auf meinen Server kopiert und suche mit dem Wildcard Zeichen "Stern" * danach:
http://www.tommyherrmanndesign.com/project.mobirise*
... wie man sieht, finde ich diese auch sogleich:
Weiß jemand warum das so ist?
Liegt das tatsächlich an dem fehlenden Zertifikat oder woran?
Es ist so jedenfalls bei meinem Server "1&1 IONOS" problemlos möglich und somit eine große Gefahr für alle die kein SSL verwenden - also noch nur ein HTTP vorne in der URL stehen zu haben.
In dieser Projekt-Datei stehen nämlich teilweise sensible Informationen, wie z.B. die Passwörter wenn man PHP-Skripte eingebaut hat.
ich hatte schon vor langer Zeit mal feststellen müssen, dass es für mich kein Problem ist eine umbenannte Datei dennoch am Server zu finden.
Kann es sein, dass das nur geht, wenn man kein SSL-Zertifikat verwendet (also kein HTTPS). Es geht bei mir eben auch nur bei einer Domain ohne so ein Zertifikat.
Es wird immer wieder von anderen empfohlen die Projekt-Datei von Mobirise umzubenennen, damit man eben die dort eventuell sensiblen Daten nicht durch einfachen Download einsehen kann.
Ich empfehle das nicht, ich habe immer empfohlen diese Datei entweder am Server zu löschen oder (besser) über eine .htaccess Datei zu schützen. Es kann nämlich sehr wichtig werden, diese Datei am Server in aktueller Form zu haben.
Beispiel:
Ich benenne die Datei: "project.mobirise" am Server um in:
project.mobirise.20230305
Ich habe diese Datei nun so auf meinen Server kopiert und suche mit dem Wildcard Zeichen "Stern" * danach:
http://www.tommyherrmanndesign.com/project.mobirise*
... wie man sieht, finde ich diese auch sogleich:
Weiß jemand warum das so ist?
Liegt das tatsächlich an dem fehlenden Zertifikat oder woran?
Es ist so jedenfalls bei meinem Server "1&1 IONOS" problemlos möglich und somit eine große Gefahr für alle die kein SSL verwenden - also noch nur ein HTTP vorne in der URL stehen zu haben.
In dieser Projekt-Datei stehen nämlich teilweise sensible Informationen, wie z.B. die Passwörter wenn man PHP-Skripte eingebaut hat.
Re: Mit Wildcard * Datei lokalisieren
Wenn ich Dateien auf meinem Server suche nutze ich die Suchfunktion von Filezilla dafür.
Da ich nur https auf jeder Domain habe, kann ich da keine Probleme bestätigen. Findet immer alles
Man könnte auch mit dem Windows Explorer suchen Geht auch
Da ich nur https auf jeder Domain habe, kann ich da keine Probleme bestätigen. Findet immer alles
Man könnte auch mit dem Windows Explorer suchen Geht auch
Gruß Volker
- Tommy Herrmann
- Site Admin
- Beiträge: 5797
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Mit Wildcard * Datei lokalisieren
Volker,
ich denke, Du hast mich komplett missverstanden
Es geht um die Suche am Browser im Internet auf einer fremden Domain um diese zu hacken, also in diesem Fall um die Suche nach der Mobirise Projekt-Datei einer fremden Domain, denn dort können verschiedene sensible Daten drinnen stehen.
ich denke, Du hast mich komplett missverstanden
Es geht um die Suche am Browser im Internet auf einer fremden Domain um diese zu hacken, also in diesem Fall um die Suche nach der Mobirise Projekt-Datei einer fremden Domain, denn dort können verschiedene sensible Daten drinnen stehen.
Re: Mit Wildcard * Datei lokalisieren
Ist glaube das war eine Einstellung vom WebServer und kann über eine .htaccess abgeschaltet werden.
Options -MultiViews
Hatten wir mal beim Bildschutz verwendet (ganz unten am Ende der Seite).
http://www.tommyherrmanndesign.com/nof/ ... orial.html
https://httpd.apache.org/docs/current/c ... ation.html
( https://www.ionos.de/hilfe/hosting/htac ... direktiven )
Options -MultiViews
Hatten wir mal beim Bildschutz verwendet (ganz unten am Ende der Seite).
http://www.tommyherrmanndesign.com/nof/ ... orial.html
https://httpd.apache.org/docs/current/c ... ation.html
( https://www.ionos.de/hilfe/hosting/htac ... direktiven )
- Tommy Herrmann
- Site Admin
- Beiträge: 5797
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Mit Wildcard * Datei lokalisieren
Moin Klaus,
danke - ja - das kann gut sein.
Dann ist aber das Umbenennen solche sensiblen Dateien am Server eher ein großes Risiko, zumal die meisten Leute sicher nicht wissen wie das eingestellt ist.
Ihnen wird gesagt, sie sollen die Datei umbenennen und dann gehen sie davon aus, dass die von niemandem gefunden werden kann.
danke - ja - das kann gut sein.
Dann ist aber das Umbenennen solche sensiblen Dateien am Server eher ein großes Risiko, zumal die meisten Leute sicher nicht wissen wie das eingestellt ist.
Ihnen wird gesagt, sie sollen die Datei umbenennen und dann gehen sie davon aus, dass die von niemandem gefunden werden kann.
Re: Mit Wildcard * Datei lokalisieren
Sorry falsch verstanden
Aber wenn jemand die Dateien eines Webservers haben will, dann bekommt er sie auch
Ob Du die umbenennst ist dabei ja Jacke wie Hose
Kennst Du den hier : WinHTTrack Website Copier
Damit holst Du alle Dateien die nicht geschützt sind lokal auf Deinen Rechner
Ein Webserver ist ja öffentlich und alle Dateien sind frei zugänglich - sonst wäre es ja nicht das Internet
Aber wenn jemand die Dateien eines Webservers haben will, dann bekommt er sie auch
Ob Du die umbenennst ist dabei ja Jacke wie Hose
Kennst Du den hier : WinHTTrack Website Copier
Damit holst Du alle Dateien die nicht geschützt sind lokal auf Deinen Rechner
Ein Webserver ist ja öffentlich und alle Dateien sind frei zugänglich - sonst wäre es ja nicht das Internet
Gruß Volker
Re: Mit Wildcard * Datei lokalisieren
Was am WebServer liegt kann auch gefunden werden uns sei es per "Durchrattern" von Listen.
... hatte ja auch schon mal geschrieben dass die wenigsten wissen dass es bei Strato einen "Hintereingang" gibt.
Jede root vom Hostingaccount ist zusätzlich zu den aufgeschalteten Domains auch per Master-ID wie z.B. hier über
5123456789.swh.strato-hosting.eu erreichbar.
D.h. falls die eigentlichen Domain z.B. so angelegt wurden
./public/example.com
./public/sub.example.com
und die http Seiten dann erst unter ./public/* beginnen so kann das aus der root aber doch über die Master-ID-URL gelesen werden ... ja Strato hat da extra ne robots.txt geschaltet aber finden kann man es.
... hatte ja auch schon mal geschrieben dass die wenigsten wissen dass es bei Strato einen "Hintereingang" gibt.
Jede root vom Hostingaccount ist zusätzlich zu den aufgeschalteten Domains auch per Master-ID wie z.B. hier über
5123456789.swh.strato-hosting.eu erreichbar.
D.h. falls die eigentlichen Domain z.B. so angelegt wurden
./public/example.com
./public/sub.example.com
und die http Seiten dann erst unter ./public/* beginnen so kann das aus der root aber doch über die Master-ID-URL gelesen werden ... ja Strato hat da extra ne robots.txt geschaltet aber finden kann man es.
- Tommy Herrmann
- Site Admin
- Beiträge: 5797
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Mit Wildcard * Datei lokalisieren
Deswegen verwende ich ja diese .htaccess Datei:
... ob das zu 100% sicher ist, weiß ich auch nicht - denke aber schon.
Code: Alles auswählen
<Files *.mobirise>
order allow,deny
deny from all
</Files>
Wer ist online?
Mitglieder in diesem Forum: Volker und 10 Gäste