XAMPP - SafeMode=ON - HTTP-Authentifizierung - Wo ist das PWD?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • XAMPP - SafeMode=ON - HTTP-Authentifizierung - Wo ist das PWD?

    Griaß Euch alle miteinander!

    Stelle gerade einige uralte PHP-Appls aus LAMP-PHP3 Zeiten auf XAMPP-PHP 5.2.0 um. Ansich läuft alles zufriedenstellend.

    Bis auf ein kleines aber nicht unwesentliches Detail ...

    In einer der Applikationen wird HTTP-Authentifizierung verwendet.

    Früher gabs noch Variable wie
    $PHP_AUTH_USER und
    $PHP_AUTH_PW,

    naja die heißen neuerdings halt
    $_SERVER['PHP_AUTH_USER']
    $_SERVER['PHP_AUTH_PW']"

    als kein Auftrag für hand (das bin ich *g* noch immer *g*)

    Jetzt kommt's.

    Zu guter Letzt wollte ich noch den
    safe_mode = On
    setzen.

    Also setze ich safe_mode = On
    Apache Restart

    Nix mehr mit
    $_SERVER['PHP_AUTH_USER']
    $_SERVER['PHP_AUTH_PW']"

    Auf der Suche nach User und Passwort, ein Griff in die Trickkiste
    PHP-Code:
    print_r($_SERVER);
    print_r($_GET);
    print_r($_POST);
    print_r($_REQUEST); 
    O.k., Nehm ich halt anstatt
    $_SERVER['PHP_AUTH_USER'] =-> $_SERVER['REMOTE_USER']

    soll wurscht sein (wurscht ist bei uns egal), aber nanu?

    Wo ist denn das Passwort versteckt?

    o.k. Manual her, wär doch gelacht .... Njente, Nada, Nix, kein Hinweis
    o.k. Forum her Suche .... Njente, Nada, Nix, kein Hinweis

    Ansich ist es nicht so wichtig, kann das ganze auch mit safe_mode = off laufen lassen. Wollte, wenn schon dann alles perfekt hinterlassen.

    Aber falls jemand eine Idee hat, würde ichmich über eine Lösung freuen.

  • #2
    He, was ist los, vor vier Minuten (!) hab ich mein Problem reingestellt und noch keine Antwort ??? *fg*

    Kommentar


    • #3
      glaubst du hier kann jeder mit lichtgeschwindigkeit tipseln nur um dein problem zu lösen ?

      Kommentar


      • #4
        He, was ist los, vor vier Minuten (!) hab ich mein Problem reingestellt und noch keine Antwort ??? *fg*
        OffTopic:
        zwei jahre lang nicht gemeldet und jetzt drängeln?


        peter
        Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
        Meine Seite

        Kommentar


        • #5
          Re: XAMPP - SafeMode=ON - HTTP-Authentifizierung - Wo ist das PWD?

          Original geschrieben von hand
          In einer der Applikationen wird HTTP-Authentifizierung verwendet.
          Script-Intern ausgelöst, oder extern (Server-Konfig)?

          As of PHP 4.3.0, in order to prevent someone from writing a script which reveals the password for a page that was authenticated through a traditional external mechanism, the PHP_AUTH variables will not be set if external authentication is enabled for that particular page and safe mode is enabled.
          I don't believe in rebirth. Actually, I never did in my whole lives.

          Kommentar


          • #6
            Original geschrieben von Kropff
            OffTopic:
            zwei jahre lang nicht gemeldet und jetzt drängeln?

            peter
            Ups, schon so lange?

            wahsaga
            ... PHP_AUTH variables will not be set if external authentication is enabled
            Wäre ich jünger, hätte ich bereits Zehntelsekunden nach wahsaga bereits geantwortet. Aber ich dachte nach, forschte, recherchierte ...

            Was bedeutet external authentication is enabled?

            Hab weder in httpd.conf noch in php.ini nix derartiges gefunden.

            wahsaga
            Script-Intern ausgelöst, oder extern (Server-Konfig)?
            Getestet hab ich über "127.0.0.1" oder "localhost", o.k. das könnte eventuell internal bedeuten. Hab dann die Seite remote aufgerufen "external" (wenn schon enabled, dann schon richtig). Auch nix.


            wahsaga
            (Server-Konfig)?



            Aber:

            phpinfo(); liefert mir im Abschnitt "HTTP Headers Information"

            Authorization: Basic aGVyd2lnOmhlcndpZw==

            Das Ding da hinten "aGVyd2lnOmhlcndpZw==" könnte etwas md-artiges, verschlüsseltes sein. Weiß aber nicht in welcher Variable das stecken könnte.

            Auf http://de3.php.net/manual/de/features.http-auth.php findet man
            PHP-Code:
            # PHP (CGI mode) HTTP Authorization with ModRewrite:
            RewriteEngine on
            RewriteCond 
            %{HTTP:Authorization} ^(.*)
            RewriteRule ^(.*) - [E=HTTP_AUTHORIZATION:%1]

            Then you need small piece of php code to parse this line and then everything will work like with mod_php:

            if (isset(
            $_SERVER['HTTP_AUTHORIZATION']))
            {
            $ha base64_decodesubstr($_SERVER['HTTP_AUTHORIZATION'],6) );
            list(
            $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']) = explode(':'$ha);
            unset 
            $ha;

            Aber das bringe ich auch nicht zum Laufen.

            Kommentar


            • #7
              OffTopic:
              @Kropff
              BTW: Kann es sein, daß Du schon über zwei Jahre dieselbe Signatur hast?

              Kommentar


              • #8
                Original geschrieben von hand
                Was bedeutet external authentication is enabled?
                HTTP Auth ist in Begriffen des Manuals "external", wenn es schon vor dem Aufruf des PHP-Scriptes ausgelöst wird - bspw. per .htaccess-Konfigurationsanweisungen beim Apachen.
                Wenn da das Passwort auch im Script verfügbar wäre, ist das ja vielleicht gar nicht gewünscht - das könnte jeder, der PHP-Scripte in diesem Kontext zur Ausführung bringen kann, im Klartext auslösen.


                Das Gegenteil von external wäre vom Script selbst ausgelöst - wenn das Script selber die entsprechenden Header generiert. Da wird das Script in jedem Fall aufgerufen, und entscheidet dann selber, ob es Zugang gewährt, oder nicht. Da ist also auch der Passwort-Vergleich Aufgabe des Scriptes selber.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Danke Wahsaga, das Thema hat sich damit erledigt.

                  Diese besagte Applikation verwendet eine Apache getriebene Authentifizierung über htaccess.

                  Das werde ich aber jetzt nicht umstellen, sonder einfach den safe_mode wieder schön brav auf off setzen.

                  Da hätt ich mich noch totat zerfranst bei der Suche nach der Ursache ...

                  Danke nochmals.

                  OffTopic:

                  Ein Wahnsinn schon fünf Jahre seit der Registrierung. Pfoa. Das bestätigt mir die seinerzeitige Wahl mich mit PHP zu beschäftigen, neben den vielen damals existierenden Skriptsprachen, darunter einige die mittlerweile verkümmert sind.
                  Ein Lob auch ans Forum, daß es sich so lange gehalten und an seiner Aktualität nichts verloren hat.

                  Kommentar


                  • #10
                    Das bestätigt mir die seinerzeitige Wahl mich mit PHP zu beschäftigen, ...
                    OffTopic:

                    Kommentar

                    Lädt...
                    X