You Don't Have Permission To Access

[papsti]

Hi Leute

Hab ein dringendes Problem!

Wenn ich mit dem Contend Manager ein Pic in die index.php einf?gen will, bekomme ich folgende Meldung:

403 Forbidden

You don't have permission to access /shop/admin/includes/classes/spaw/dialog/img_libary.php on this server.

Kann mir jemand sagen was das soll?

[mzanier]

bitte vor jedem posting die suche verwenden, wurde bereits mehrmals beschrieben das problem.

[papsti]

kann leider mit der suche keine hilfe finden! kannst dumir auf der Suche nach dem eitrag helfen?

[chassot]

.htaccess, welche mit dem Patch hinaufgeladen wurde - sofern Sicherheitsl?cke verschmerzbar - l?schen.

[papsti]

danke

[sriedel]

Das Problem bei der .htaccess Datei im Critical Update (aka RC 1.2 Security Update) ist, dass in dieser Forum HTTP-Zugriffe auf grunds?tzlich alle *.php Dateien unterhalb von /admin/includes (denn in dieses Verzeichnis kommt die besagte .htaccess) verboten werden. An sich eine gute Idee, schlie?lich sollten in einem Include-Verzeichnis(baum) ja nur Dateien liegen, die included/required werden, was nach im Gegensatz zu HTTP-Requests wie vor geht.

Dummerweise gibt es in Spaw aber einige PHP-Scripts, die eben nicht nur inkludiert werden, sondern auf die "normal", also per HTTP zugegriffen wird. Diese liegen in /admin/includes/classes/spaw/dialogs und werden mit Ausnahme der spaw_control.config.php in Pop-Up-Fenstern ge?ffnet, worauf auch schon der Ordername "dialogs" hindeutet. Das kann aber nicht (mehr) funktionieren...

Anders gesagt: Nach ordnungsgem??em Installieren des Critical Updates funktionieren (zumindest unter Apache und htaccess-kompatiblen Webservern) s?mtliche Popups von Spaw nicht mehr, zB die Colorpicker, "Tabelle erstellen", "HTML S?ubern" etc. pp. In diversen Posts hier im Forum wird geraten, falls einem diese Funktionen "so wichtig" sind, die .htaccess aus dem Critical Update doch einfach wieder zu l?schen, denn dann funktioniere wieder alles #dummerweise ist man dann aber vor zuk?nftigen, noch unbekannten Angriffen nicht gesch?tzt. Das muss jedoch nicht sein, es gibt auch einen "sauberen" Weg, bei dem man alles "bekommt" und sich nicht zwischen dem pers?nlich geringeren ?bel entscheinden muss.

Die saubere L?sung ist, noch eine .htaccess anzulegen, die den Zugriff nur dort erlaubt, wo er nunmal notwendig ist, n?mlich im besagten Verzeichnis /admin/includes/classes/spaw/dialogs, damit nur f?r dieses Verzeichnis die Restriktionen durch die /admin/includes/.htaccess wieder aufgehoben werden. Diese .htaccess muss das Gegenteil machen wie die in /admin/includes, sie muss statt dem dortigen "Deny from all" ein "Allow from all" enthalten.

Die zus?tzliche Datei /admin/includes/classes/spaw/dialogs/.htaccess sollte also folgendes enthalten:

<Files *.php>

Order Deny,Allow

Allow from all

</Files>

Eventuell sollte man die von mir beschriebene zus?tzliche .htaccess in das Critical Update mit aufzunehmen? So richtig das wahre ist es ja nicht, wenn man XTC und danach das Critical Update frisch installiert und dann 403 Fehler bekommt Mario kann das ja mal pr?fen.

[mzanier]

die htacess ist nicht zwingend notwendig, der bug in spawn ist in der config datei gefixt, die htacess ist nur als vor?bergehend l?sung zu sehen, falls der spawn noch mehere sicherheitsl?cher hat, das wird seit einiger zeit nun gepr?ft.