Ein Blog-Leser hat mich gerade über eine Änderung an den Standard-Einstellungen für PHP informiert. Die Information sei ihm von einem Kunden zugegangen.
Anzeige
Hier ist die Information des Lesers, die ich 1:1 weitergebe:
wir möchten Sie darüber informieren, dass die in Ihrem IONOS Hosting-Vertrag verwendete PHP-Version 8.1 (und/oder 8.2) ein potentiell sicherheitskritisches Verhalten hervorgerufen hat. Dies wurde inzwischen für alle IONOS Hosting-Kunden behoben.Gemäß unserer allgemeinen Informationspflicht im Rahmen von Art. 28 DSGVO erläutern wir Ihnen gerne die Hintergründe.Was ist genau passiert?Ab der PHP-Version 8.1, die IONOS ab dem 01.12.2021 eingeführt hat, war die Fehlerausgabe über den Browser standardmäßig aktiviert („display_errors = on").Da es sich hier um die Default-Einstellung von PHP direkt handelt und die PHP Entwickler davon ausgehen, dass diese Einstellung nur in Entwicklungsumgebungen aktiviert bleibt, haben sie kürzlich weitere Details in der Fehlerausgabe hinzugefügt. Dies konnte z. B. bei einem fehlgeschlagenen Verbindungsaufbau zur Datenbank dazu führen, dass die Zugangsdaten einer Datenbank als Fehlerausgabe im Klartext im Browser des Besuchers ausgegeben wurden.Wie hat IONOS reagiert?Um die Veröffentlichung von sensiblen Inhalten über den Browser im Fehlerfall zu vermeiden und zu unterdrücken, haben wir die Standardeinstellung von „on" auf „off" geändert. Somit tritt das oben beschriebene Verhalten für PHP 8.1 , 8.2 und neuere Versionen nicht mehr auf. Diese Änderung ist in allen Ihren IONOS Hosting-Verträgen aktiv.Wichtig für Sie:Unabhängig der oben beschriebenen Anpassungen für PHP 8.1 und 8.2 empfehlen wir Ihnen, Ihre verwendeten Passwörter (z. B. für MySQL oder MariaDB Datenbanken) zu prüfen und gegebenenfalls neu zu setzen. Daneben sollten Sie allgemein geltende Schutzmaßnahmen beachten:
- Optimaler Passwortschutz
- Nutzen Sie unbedingt für jeden Dienst (Webspace, Datenbanken, etc.) ein individuelles Passwort.
Prüfen Sie, ob Sie individuelle PHP-Konfigurationen zur Fehlerausgabe vorgenommen haben, welche die neuen Standardeinstellungen überschreiben und so eventuell nicht beabsichtigt sind.
Anzeige