Mobirise-Tutorials.com

Hallo,

ich hatte schon vor langer Zeit mal feststellen müssen, dass es für mich kein Problem ist eine umbenannte Datei dennoch am Server zu finden.

Kann es sein, dass das nur geht, wenn man kein SSL-Zertifikat verwendet (also kein HTTPS). Es geht bei mir eben auch nur bei einer Domain ohne so ein Zertifikat.

Es wird immer wieder von anderen empfohlen die Projekt-Datei von Mobirise umzubenennen, damit man eben die dort eventuell sensiblen Daten nicht durch einfachen Download einsehen kann.

Ich empfehle das nicht, ich habe immer empfohlen diese Datei entweder am Server zu löschen oder (besser) über eine .htaccess Datei zu schützen. Es kann nämlich sehr wichtig werden, diese Datei am Server in aktueller Form zu haben.

Beispiel:

Ich benenne die Datei: "project.mobirise" am Server um in:

project.mobirise.20230305

Ich habe diese Datei nun so auf meinen Server kopiert und suche mit dem Wildcard Zeichen "Stern" * danach:

http://www.tommyherrmanndesign.com/project.mobirise*

... wie man sieht, finde ich diese auch sogleich:




Weiß jemand warum das so ist?

Liegt das tatsächlich an dem fehlenden Zertifikat oder woran?

Es ist so jedenfalls bei meinem Server "1&1 IONOS" problemlos möglich und somit eine große Gefahr für alle die kein SSL verwenden - also noch nur ein HTTP vorne in der URL stehen zu haben.

In dieser Projekt-Datei stehen nämlich teilweise sensible Informationen, wie z.B. die Passwörter wenn man PHP-Skripte eingebaut hat.

Wenn ich Dateien auf meinem Server suche nutze ich die Suchfunktion von Filezilla dafür.
Da ich nur https auf jeder Domain habe, kann ich da keine Probleme bestätigen. Findet immer alles
Man könnte auch mit dem Windows Explorer suchen Geht auch

Volker,

ich denke, Du hast mich komplett missverstanden

Es geht um die Suche am Browser im Internet auf einer fremden Domain um diese zu hacken, also in diesem Fall um die Suche nach der Mobirise Projekt-Datei einer fremden Domain, denn dort können verschiedene sensible Daten drinnen stehen.

Ist glaube das war eine Einstellung vom WebServer und kann über eine .htaccess abgeschaltet werden.

Options -MultiViews

Hatten wir mal beim Bildschutz verwendet (ganz unten am Ende der Seite).
http://www.tommyherrmanndesign.com/nof/ ... orial.html

https://httpd.apache.org/docs/current/c ... ation.html
( https://www.ionos.de/hilfe/hosting/htac ... direktiven )

Moin Klaus,

danke - ja - das kann gut sein.

Dann ist aber das Umbenennen solche sensiblen Dateien am Server eher ein großes Risiko, zumal die meisten Leute sicher nicht wissen wie das eingestellt ist.

Ihnen wird gesagt, sie sollen die Datei umbenennen und dann gehen sie davon aus, dass die von niemandem gefunden werden kann.

Sorry falsch verstanden

Aber wenn jemand die Dateien eines Webservers haben will, dann bekommt er sie auch
Ob Du die umbenennst ist dabei ja Jacke wie Hose

Kennst Du den hier : WinHTTrack Website Copier

Damit holst Du alle Dateien die nicht geschützt sind lokal auf Deinen Rechner
Ein Webserver ist ja öffentlich und alle Dateien sind frei zugänglich - sonst wäre es ja nicht das Internet

Was am WebServer liegt kann auch gefunden werden uns sei es per "Durchrattern" von Listen.

... hatte ja auch schon mal geschrieben dass die wenigsten wissen dass es bei Strato einen "Hintereingang" gibt.
Jede root vom Hostingaccount ist zusätzlich zu den aufgeschalteten Domains auch per Master-ID wie z.B. hier über
5123456789.swh.strato-hosting.eu erreichbar.
D.h. falls die eigentlichen Domain z.B. so angelegt wurden
./public/example.com
./public/sub.example.com
und die http Seiten dann erst unter ./public/* beginnen so kann das aus der root aber doch über die Master-ID-URL gelesen werden ... ja Strato hat da extra ne robots.txt geschaltet aber finden kann man es.

Deswegen verwende ich ja diese .htaccess Datei:
... ob das zu 100% sicher ist, weiß ich auch nicht - denke aber schon.