. miradlo bloggt  
« Blinde am PC ::: Barrierefreiheit ::: Session beim Fucamp Server nicht erreichbar ::: langsam ::: überlastet »

Fehlermeldungen sollte man nicht offen anzeigen ::: error_reporting(0);

18. Juni 2009 ute

  • Screenshot Südkurier Fehlermeldung offene Fehlermeldung mit Pfaden (Klicken vergrößert)

Ursprünglich wollte ich gar nicht so ausführlich über die Kommunalwahlen auf uteles Blog schreiben, wie ich es dann tat, ich hatte ja schon recht ausführlich über die Europawahl berichtet. Doch ich fand nur mit Mühe Informationen zu den Ergebnissen in sinnvoller Form. Da ich weiß, dass es einige Menschen gibt, die noch viel weniger Chancen haben, dann noch etwas zu finden, fand ich es sinnvoll.

Gefundenes Fressen für potenzielle Angreifer von Websites

Dabei stolperte ich dann über die Website unserer lokalen Tageszeitung, die mal eben die Fehlermeldungen ihrer Seite offen ausgibt. Heute mittag passierte mir ähnliches bei der Post AG, die beim Berechnen des Portos auch deutlich mehr meldete als nötig, nur nichts was mir weiter half. ;)

Ich verstehe, wenn Hobby-Blogger, die nicht vom Fach sind, nicht wissen, dass es Fehlermeldungen gibt und sich nicht darum kümmern, dass diese nicht erscheinen.

Es ist mir schleierhaft, wie das bei größeren und großen Unternehmen passieren kann. Dort erwarte ich die Fachkräfte, die sich darum kümmern, dass solche Meldungen nicht erscheinen. Es ist einfach nicht nötig, es potenziellen Angreifern auch noch die Tür aufzumachen und sie einzuladen… ;) Denn so schwer ist es nicht das zu vermeiden:

PHP ohne Fehlermeldung

Bei einfachen PHP-Anwendungen sorgt error_reporting(0); dafür, dass Fehlermeldungen nicht ausgegeben werden. Möchte man es bei Neuinstallationen oder Tests ändern, muss nur die eine Zeile geändert werden.

Hoster Fehlermeldungen abstellen

Oft bietet auch der eigene Hoster in der Administrationsoberfläche die Einstellung “Fehlermeldungen anzeigen” an. Manche bieten an, dass man es selbst über die .htaccess regeln kann:

php_flag display_errors off

Wer die Fehlermeldungen stattdessen im errorlog noch sehen möchte, setzt zusätzlich:

php_flag log_errors on

Blogs ohne Fehlermeldungen

Ausführlich beschreibt das ein Artikel bei cywhale, in dem es ums Absichern von WordPress geht. Er empfiehlt ebenfalls die PHP-Variante und weist noch auf den einfachen Weg für WordPress-Blogs hin. In der wp-config.php sollte folgende Zeile stehen:

define(’WP_DEBUG’, false);

Falls da true steht, dann einfach ändern.

Im Grunde also gar nicht so schwierig. Mit dem Wissen und einer Anleitung können das auch nicht-Profis.

Weshalb es trotzdem so häufig von Agenturen gibt, bei denen das nicht klappt, tja, ich weiß nicht halt auch nicht, was die so beruflich machen… ;)

Merken und weiterempfehlen Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • TwitThis
  • Technorati
  • Wikio DE
  • Digg
  • del.icio.us
  • MisterWong
  • Y!GG

Ähnliche Beiträge

Wir erstellen Webseiten, Blogs, Webapplikationen und mehr...

Der Beitrag wurde am Donnerstag, den 18. Juni 2009 um 00:56 Uhr veröffentlicht und wurde unter tipps abgelegt.

Dir gefiel der Artikel? Dann abonniere doch den RSS Feed oder abonniere die Beiträge per E-Mail. Du kannst die Kommentare zu diesem Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

4 Reaktionen zu “Fehlermeldungen sollte man nicht offen anzeigen ::: error_reporting(0);”

  1. onli sagt:
    18. Juni 2009 um 11:27

    Was ist so schlimm daran, wenn in Ausnahmefällen, also bei Fehlern, die zu beheben sind, diese Meldungen auch angezeigt werden? Ich kann bei den Meldungen keinen Angriffspunkt ausmachen.

    Immerhin wird so klar gemacht: Das ist nicht so komisch, da ist was kaputt.

    Zitieren

  2. ute sagt:
    18. Juni 2009 um 13:50

    onli: Ich kann bei den Meldungen keinen Angriffspunkt ausmachen.

    Ich meine wenn auftaucht mit welchem User zugegriffen werden soll, wenn der Pfad zu Dateien, die auf die Datenbank zugreifen im Klartext erscheint und die Serverstruktur bereits veröffentlicht wird, dann wird ein Angriff so leichter.

    Ich habe auf unserem Server immer wieder Versuche zuzugreifen, indem mit einem Skript, die häufig benutzten Namen aufgerufen werden. Wenn es jedoch schon vorher klar ist, wo man suchen muss, wird es leichter…

    onli: Immerhin wird so klar gemacht: Das ist nicht so komisch, da ist was kaputt.

    Nun, es sollte beim Testen mit eingeschalteten Fehlermeldungen alles repariert werden was kaputt ist. Bei Fehlern, die nachträglich auftreten können, sollten für Nutzer verständliche Fehlermeldungen ausgegeben werden. Bekomme ich anhand einer Nutzerfehlermeldung den Hinweis, dass etwas kaputt ist, dann schalte ich die Fehlermeldungen ja wieder ein, und hole mir die genaueren Infos.

    Zitieren

  3. Dirk Deimeke sagt:
    18. Juni 2009 um 14:18

    Ich bin der Meinung, dass Fehlermeldungen von der Anwendung abgefangen werden müssen und für den Anwender verständlich aufbereitet werden sollen.

    Zitieren

  4. ute sagt:
    18. Juni 2009 um 14:27

    Dirk Deimeke: Ich bin der Meinung, dass Fehlermeldungen von der Anwendung abgefangen werden müssen und für den Anwender verständlich aufbereitet werden sollen.

    Das habe ich damit auch zu beschreiben versucht. ;)

    Zitieren

Schreibe mir

Subscribe without commenting

zum Seitenanfang