allow_url_fopen 0 oder 1

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Ulrich
Posts: 23
Joined: Sun Jun 13, 2021 9:57 am

allow_url_fopen 0 oder 1

Post by Ulrich » Thu May 12, 2022 3:25 pm

Hi zusammen, ich schon wieder,

bei mir tritt folgendes Problem auf:

beim Starten der Website habe ich folgende Fehlermeldung:

[ external image ]

So wie ich das lese soll bei mir allow_url_fopen auf 0 gesetzt sein?

Nach Rücksprache mit dem Support ist allow_url_fopen aber auf ON gesetzt und ON =1.
PHPInfo (aus dem Admin Menu heraus - Einstellungen - Info - PHPInfo) sagt aber das allow_url_fopen auf OFF gesetzt ist.

Wo liegt jetzt das Problem, bei mir, im Programm oder bei meinem Provider?

Ulrich, der sich dem Kopf kratzt..... was denn nun stimmt.

PS.: Wieso werden Bilder nicht mehr eingebunden sondern als Links dargestellt? Weil ich kein HTTPS habe?
-------------------------------------
Nachtrag: PHP Version 7.4.28

cmb
Posts: 13991
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: allow_url_fopen 0 oder 1

Post by cmb » Thu May 12, 2022 3:38 pm

Ulrich wrote:
Thu May 12, 2022 3:25 pm
Nach Rücksprache mit dem Support ist allow_url_fopen aber auf ON gesetzt und ON =1.
PHPInfo (aus dem Admin Menu heraus - Einstellungen - Info - PHPInfo) sagt aber das allow_url_fopen auf OFF gesetzt ist.

Wo liegt jetzt das Problem, bei mir, im Programm oder bei meinem Provider?
Ich würde sagen, bei deinem Provider. Du kannst da jedenfalls nichts machen (es sei denn du kannst die Einstellung in einem Webinterface oder so ändern).
Ulrich wrote:
Thu May 12, 2022 3:25 pm
PS.: Wieso werden Bilder nicht mehr eingebunden sondern als Links dargestellt? Weil ich kein HTTPS habe?
Ich glaube, das ist wohl nun bei allen extern verlinkten Bildern so. Um das Bild im Post darzustellen, müsstest du es ins Forum hochladen (geht glaube ich per Drag&Drop).
Christoph M. Becker – Plugins for CMSimple_XH

Ulrich
Posts: 23
Joined: Sun Jun 13, 2021 9:57 am

Re: allow_url_fopen 0 oder 1

Post by Ulrich » Thu May 12, 2022 3:55 pm

cmb wrote:
Thu May 12, 2022 3:38 pm

Ich würde sagen, bei deinem Provider. Du kannst da jedenfalls nichts machen (es sei denn du kannst die Einstellung in einem Webinterface oder so ändern).
Ich kann schon über ein Web Interface die Optionen ändern - von 0 auf 1, bzw von ON auf OFF, aber das ändert nichts an der Tatsache das die Anzeige in PHP Info immer auf OFF bleibt.

BTW - was bewirkt - hier im CMS - eigentlich allow_url_fopen?



Ulrich

cmb
Posts: 13991
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: allow_url_fopen 0 oder 1

Post by cmb » Thu May 12, 2022 5:26 pm

Ulrich wrote:
Thu May 12, 2022 3:55 pm
Ich kann schon über ein Web Interface die Optionen ändern - von 0 auf 1, bzw von ON auf OFF, aber das ändert nichts an der Tatsache das die Anzeige in PHP Info immer auf OFF bleibt.
Dann stimmt entweder etwas mit dem Webinterface nicht, oder du müsstest eine Weile warten (ganz vielleicht wird auch die PHP-Info-Seite im Browser gecache't.
Ulrich wrote:
Thu May 12, 2022 3:55 pm
BTW - was bewirkt - hier im CMS - eigentlich allow_url_fopen?
allow_url_fopen ermöglicht es Dateien per URL zu öffnen (also nicht nur lokale Dateien, sondern "entfernte"). In XH wird es für get_headers() (und vielleicht noch an ein paar anderen Stellen) gebraucht. get_headers() wird verwendet, um zu prüfen, ob schützenswerte Dateien (wie content.htm) auch wirklich geschützt sind, und seit einer Weile optional für den Linkcheck.
Christoph M. Becker – Plugins for CMSimple_XH

olape
Posts: 2195
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: allow_url_fopen 0 oder 1

Post by olape » Thu May 12, 2022 7:04 pm

cmb wrote:
Thu May 12, 2022 5:26 pm
allow_url_fopen ermöglicht es Dateien per URL zu öffnen (also nicht nur lokale Dateien, sondern "entfernte"). In XH wird es für get_headers() (und vielleicht noch an ein paar anderen Stellen) gebraucht. get_headers() wird verwendet, um zu prüfen, ob schützenswerte Dateien (wie content.htm) auch wirklich geschützt sind, und seit einer Weile optional für den Linkcheck.
Wir sollten wohl überall primär auf cURL setzen.

Ulrich wrote:
Thu May 12, 2022 3:55 pm
Ich kann schon über ein Web Interface die Optionen ändern - von 0 auf 1, bzw von ON auf OFF, aber das ändert nichts an der Tatsache das die Anzeige in PHP Info immer auf OFF bleibt.
Bei einigen Providern kann man auch mit einer user.ini nachhelfen.

viewtopic.php?f=16&t=14045&p=67670&hili ... ini#p67670

Michael_G
Posts: 145
Joined: Thu Feb 18, 2016 11:01 pm
Contact:

Re: allow_url_fopen 0 oder 1

Post by Michael_G » Sat May 14, 2022 6:02 pm

Wir sollten wohl überall primär auf cURL setzen.
@olape und @cmb:
Hängt das auch damit zusammen, dass CMSimple_XH nicht wirklich korrekt prüft, ob schützenwerte Dateien geschützt sind?

Bei mir funktioniert das nur, wenn ich keinen ErrorDocument-Eintrag in der .htaccess-Datei habe, also die .htaccess mal kurz vorm Aufruf der System-Info deaktiviere/umbenenne/lösche.

Sonst steht da immer (Auszug der falschen Prüfergebnisse):

Code: Select all

Prüfe, dass '../cmsimple/config.php' zugriffsgeschützt ist … Warnung
Prüfe, dass '../content/de/content.htm' zugriffsgeschützt ist … Warnung
Prüfe, dass '../templates/fhs-whitespace/template.htm' zugriffsgeschützt ist … Warnung
Mein Snippet für ErrorDocument in der .htaccess:

Code: Select all

# Nette Fehlerseiten
	ErrorDocument 400 https://%{HTTP_HOST}/?400
	ErrorDocument 401 https://%{HTTP_HOST}/?401
	ErrorDocument 403 https://%{HTTP_HOST}/?403
	ErrorDocument 404 https://%{HTTP_HOST}/?404
	ErrorDocument 410 https://%{HTTP_HOST}/?410
	ErrorDocument 500 https://%{HTTP_HOST}/?500
Betrifft keine spezielle Konfiguration, auch meine Testinstallationen ohne Zweitsprache und einer Domain haben gleichen Effekt.
Hat Monate gedauert, bis ich herausgefunden hatte, dass es ausgerechnet an „ErrorDocument” liegt.
– Da kommt doch kein Mensch ´drauf …

Nachtrag!
Nun hat mir das auch keine Ruhe gelassen und ich habe verschiedene Fehlerstatus auskommentiert, .htaccess jedesmal gespeichert und die System-Info dann neu gestartet.
Fazit: allein diese Zeile hält CMSimple_XH von einer einwandfreien Systemprüfung ab:

Code: Select all

	ErrorDocument 403 https://%{HTTP_HOST}/?403
(ob „ErrorDocument 500” jemals in der Praxis von CMSimple_XH bedient werden kann, weiß ich nicht, habe es aber mal eingebaut – wenn dieser Status niemals vom Server ans CMS gehen kann, nehme ich die Zeile raus)

Ich könnte „ErrorDocument 403” einfach weglassen, aber dann sieht jeder Möchtegern-Hacker diese Meldung:

Code: Select all

Forbidden
You don't have permission to access this resource.
Apache Server at tests-und-tipps.info Port 443
Das möchte ich vermeiden und lieber meine eigene Fehlerstatus-Seite im Design der Website anzeigen.

Bitte bei Optimierung des Systems berücksichtigen. Danke euch!
Ciao
Michael

Let's Encrypt!

olape
Posts: 2195
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: allow_url_fopen 0 oder 1

Post by olape » Sat May 14, 2022 9:37 pm

Michael_G wrote:
Sat May 14, 2022 6:02 pm
Bei mir funktioniert das nur, wenn ich keinen ErrorDocument-Eintrag in der .htaccess-Datei habe, also die .htaccess mal kurz vorm Aufruf der System-Info deaktiviere/umbenenne/lösche.
Ich kann nicht wirklich glauben, dass das einen Zusammenhang haben sollte, FALLS alle Einträge in der / den .htaccess korrekt gesetzt sind und die Fehlerseiten auch den entsprechenden Status zurückgeben.

ErrorDocument ändert ja theoretisch nichts an der eigentliche Rückgabe des Servers (und schon wieder: falls die Seiten den Status richtig zurückgeben). Es bietet ja nur die Möglichkeit, diesen Fehler selber zu gestalten. Was nun aber in dem Zusammenhang gar nicht relevant ist.
Michael_G wrote:
Sat May 14, 2022 6:02 pm
(ob „ErrorDocument 500” jemals in der Praxis von CMSimple_XH bedient werden kann, weiß ich nicht, habe es aber mal eingebaut – wenn dieser Status niemals vom Server ans CMS gehen kann, nehme ich die Zeile raus)
XH bedient keinen der Fehler, die du in der .htaccess einträgst, bzw. deren Optik du an dieser Stelle änderst.
Das betrifft nur Fehler, die der Webserver selber wirft.
.htaccess gehört zu Serverkonfiguration, egal ob nachher php, oder nur html läuft.

cmb
Posts: 13991
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: allow_url_fopen 0 oder 1

Post by cmb » Sun May 15, 2022 10:29 am

olape wrote:
Thu May 12, 2022 7:04 pm
Wir sollten wohl überall primär auf cURL setzen.
Aber auch das ist nicht unbedingt verfügbar; zumindest ist die Curl-Erweiterung optional. Weiß nicht, wie es in der Praxis aussieht.
olape wrote:
Thu May 12, 2022 7:04 pm
Bei einigen Providern kann man auch mit einer user.ini nachhelfen.
Das dürfte für allow_url_fopen aber nicht möglich sein, da die Option PHP_INI_SYSTEM ist, und daher nur in php.ini oder httpd.conf geändert werden kann.
Michael_G wrote:
Sat May 14, 2022 6:02 pm
Bei mir funktioniert das nur, wenn ich keinen ErrorDocument-Eintrag in der .htaccess-Datei habe, also die .htaccess mal kurz vorm Aufruf der System-Info deaktiviere/umbenenne/lösche.
Wie Olaf schon schrieb, sollte das eigentlich nicht relevant sein, falls das ErrorDocument den entsprechenden Status-Code liefert. Im Zweifel eine solche geschützte Seite mal im Browser aufrufen, und dann in der Entwicklerkonsole den Status-Code überprüfen.
Christoph M. Becker – Plugins for CMSimple_XH

olape
Posts: 2195
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: allow_url_fopen 0 oder 1

Post by olape » Sun May 15, 2022 4:33 pm

cmb wrote:
Sun May 15, 2022 10:29 am
Das dürfte für allow_url_fopen aber nicht möglich sein, da die Option PHP_INI_SYSTEM ist, und daher nur in php.ini oder httpd.conf geändert werden kann.
Bei mir funktioniert das seit Jahren so

olape
Posts: 2195
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: allow_url_fopen 0 oder 1

Post by olape » Sun May 15, 2022 4:37 pm

cmb wrote:
Sun May 15, 2022 10:29 am
Aber auch das ist nicht unbedingt verfügbar; zumindest ist die Curl-Erweiterung optional. Weiß nicht, wie es in der Praxis aussieht.
Ich denke, in der Praxis wird das besser funktionieren, als die jetzige Variante.
Diese könnte man aber als fallback drin lassen.

Post Reply