Skip to content

Fehlermeldungen sollte man nicht offen anzeigen ::: error_reporting(0);

  • Screenshot Südkurier Fehlermeldung offene Fehlermeldung mit Pfaden (Klicken vergrößert)
Ursprünglich wollte ich gar nicht so ausführlich über die Kommunalwahlen auf uteles Blog schreiben, wie ich es dann tat, ich hatte ja schon recht ausführlich über die Europawahl berichtet. Doch ich fand nur mit Mühe Informationen zu den Ergebnissen in sinnvoller Form. Da ich weiß, dass es einige Menschen gibt, die noch viel weniger Chancen haben, dann noch etwas zu finden, fand ich es sinnvoll.

Gefundenes Fressen für potenzielle Angreifer von Websites

Dabei stolperte ich dann über die Website unserer lokalen Tageszeitung, die mal eben die Fehlermeldungen ihrer Seite offen ausgibt. Heute mittag passierte mir ähnliches bei der Post AG, die beim Berechnen des Portos auch deutlich mehr meldete als nötig, nur nichts was mir weiter half. ;) Ich verstehe, wenn Hobby-Blogger, die nicht vom Fach sind, nicht wissen, dass es Fehlermeldungen gibt und sich nicht darum kümmern, dass diese nicht erscheinen. Es ist mir schleierhaft, wie das bei größeren und großen Unternehmen passieren kann. Dort erwarte ich die Fachkräfte, die sich darum kümmern, dass solche Meldungen nicht erscheinen. Es ist einfach nicht nötig, es potenziellen Angreifern auch noch die Tür aufzumachen und sie einzuladen... ;) Denn so schwer ist es nicht das zu vermeiden:

PHP ohne Fehlermeldung

Bei einfachen PHP-Anwendungen sorgt error_reporting(0); dafür, dass Fehlermeldungen nicht ausgegeben werden. Möchte man es bei Neuinstallationen oder Tests ändern, muss nur die eine Zeile geändert werden.

Hoster Fehlermeldungen abstellen

Oft bietet auch der eigene Hoster in der Administrationsoberfläche die Einstellung "Fehlermeldungen anzeigen" an. Manche bieten an, dass man es selbst über die .htaccess regeln kann:

php_flag display_errors off

Wer die Fehlermeldungen stattdessen im errorlog noch sehen möchte, setzt zusätzlich:

php_flag log_errors on

Blogs ohne Fehlermeldungen

Ausführlich beschreibt das ein Artikel bei cywhale, in dem es ums Absichern von WordPress geht. Er empfiehlt ebenfalls die PHP-Variante und weist noch auf den einfachen Weg für WordPress-Blogs hin. In der wp-config.php sollte folgende Zeile stehen:

define('WP_DEBUG', false);

Falls da true steht, dann einfach ändern. Im Grunde also gar nicht so schwierig. Mit dem Wissen und einer Anleitung können das auch nicht-Profis. Weshalb es trotzdem so häufig von Agenturen gibt, bei denen das nicht klappt, tja, ich weiß nicht halt auch nicht, was die so beruflich machen... ;)

Trackbacks

Keine Trackbacks

Kommentare

onli am :

onli Was ist so schlimm daran, wenn in Ausnahmefällen, also bei Fehlern, die zu beheben sind, diese Meldungen auch angezeigt werden? Ich kann bei den Meldungen keinen Angriffspunkt ausmachen.

Immerhin wird so klar gemacht: Das ist nicht so komisch, da ist was kaputt.

ute am :

ute

onli: Ich kann bei den Meldungen keinen Angriffspunkt ausmachen.


Ich meine wenn auftaucht mit welchem User zugegriffen werden soll, wenn der Pfad zu Dateien, die auf die Datenbank zugreifen im Klartext erscheint und die Serverstruktur bereits veröffentlicht wird, dann wird ein Angriff so leichter.

Ich habe auf unserem Server immer wieder Versuche zuzugreifen, indem mit einem Skript, die häufig benutzten Namen aufgerufen werden. Wenn es jedoch schon vorher klar ist, wo man suchen muss, wird es leichter...





onli: Immerhin wird so klar gemacht: Das ist nicht so komisch, da ist was kaputt.


Nun, es sollte beim Testen mit eingeschalteten Fehlermeldungen alles repariert werden was kaputt ist. Bei Fehlern, die nachträglich auftreten können, sollten für Nutzer verständliche Fehlermeldungen ausgegeben werden. Bekomme ich anhand einer Nutzerfehlermeldung den Hinweis, dass etwas kaputt ist, dann schalte ich die Fehlermeldungen ja wieder ein, und hole mir die genaueren Infos.

Dirk Deimeke am :

Dirk Deimeke Ich bin der Meinung, dass Fehlermeldungen von der Anwendung abgefangen werden müssen und für den Anwender verständlich aufbereitet werden sollen.

ute am :

ute

Dirk Deimeke: Ich bin der Meinung, dass Fehlermeldungen von der Anwendung abgefangen werden müssen und für den Anwender verständlich aufbereitet werden sollen.


Das habe ich damit auch zu beschreiben versucht. ;)

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Twitter, Favatar Autoren-Bilder werden unterstützt.
tweetbackcheck