Kan ikke få VirutalDocumentRoot til at virke ordenligt

lidt i forlængelse : ... er der en eller anden måde,, hvormed jeg kan få
skroeder.dk til at pege på www.skroeder.dk, så jeg ikke behøver en redirect
d:\www\skroeder.dk\sites\_\index.html

På et tidspunkt i løbet af natten læste jeg et sted at man kunne bruge noget SymLinks eller sådan noget -- Er det også muligt på Win32 platform eller ?

Prøv med, og mon ikke at det var bedre:

VirtualDocumentRoot d:/www/skroeder.dk/sites/%1

Så skulle det gerne være sådan at du får fat i d:/www/skroeder.dk/sites/www - hvis du forespørger på www.skroeder.dk

Evt. du burde kunne se hvilken mappe der bliver spurgt efter i din access.log ;o)

med din redirect skal du nok bruge noget mod_rewrite ;o) (Som du er så glad for) - Du kan ikke bruge symlinks, det er en linux-ting

ok ... Jeg har prøvet at ændre det til %1 - men stadigvæk er det kun www.skroeder.dk der virker --
skroeder.dk, test.skroeder.dk og foobar.skroeder.dk giver kun en tom directory-listning - og der bliver ikke lavet nogen optegnelse i access-logen :-/

prøv at gå ind på http://test.skroeder.dk, så for du en tom dir-visning at se

Jeg har lagt httpd.conf ud på http://www.skroeder.dk/httpd.conf, så du evt. kan se om der er et eller andet jeg gør galt der...

1. Har du noget bibliotek der hedder test under skroeder.dk ?

Tror problemet ligger i at kombinere både standard virtual hosts og virtualdocumentroot!
Prøv og lav det til en virtualhost, med virtualdocumentroot evt. ala

VirtualDocumentRoot d:/www/%2.0.%3.0/sites/%1

Du vil muligvis få problemer med hovedsiden med dette(skroeder.dk), men prøv lige og test

jeg har et bibliotek som hedder
  d:\www\skroeder.dk\sites\test\

Jeg prøver dit forslag...

Ingen forskel - det er stadig kun indholdet fra
  d:\www\skroeder.dk\sites\www\
jeg kan se :-/

Kan man lave et eller andet med ScriptAlias (hvor hvis subdomænet er nævnt i ScriptAlias, så virker det) som automatisk "virker" ????

Undskyld - ikke ScriptAlias men ServerAlias ...

Hvordan ser dine virtualhosts ud nu?

Der er ingen ændringer end til skroeder.dk
den ser pt. således ud

## SKROEDER.DK
<VirtualHost *>
  ServerAdmin webmaster@skroeder.dk
  ##DocumentRoot d:/www/skroeder.dk
  ##ServerAlias skroeder.dk www.skroeder.dk test.skroeder.dk
  ##ServerAlias %1.0.skroeder.dk
  ##ServerName skroeder.dk
  ErrorLog logs/skroeder.dk/error.log
  LogFormat "%V %h %l %u %t \"%r\" %s %b" myLogFormat
  CustomLog logs/skroeder.dk/access.log myLogFormat
   
  VirtualDocumentRoot d:/www/skroeder.dk/sites/%1
  ##VirtualDocumentRoot d:/www/%2.0.%3.0/sites/%1

</VirtualHost>

Må indrømme at jeg ikke ved hvordan det virker, men ville umiddelbart sige at dette er hvad der skal til

<VirtualHost *>
  ErrorLog logs/skroeder.dk/error.log
  LogFormat "%V %h %l %u %t \"%r\" %s %b" myLogFormat
  CustomLog logs/skroeder.dk/access.log myLogFormat
  VirtualDocumentRoot d:/www/%2.0.%3.0/sites/%1
</VirtualHost>

Og så simpelhen slette de andre virtualhosts! Altså lige her til at starte med, for at teste, ukommenter de andre virtualhosts for at teste!

Jeg prøvede at fjerne de andre vhosts, og så virkede det - bortset fra skroeder.dk
i det tilfælde ville
  d:/www/%2.0.%3.0/sites/%1
betyde at den skulle lede i
  d:/www/dk._/sites/skroeder

men det rettede jeg ved at skrive
  d:/www/skroeder.dk/sites/%-3
(%1 ville have givet et underbibliotek som hed skroeder i stedet for :-/)

Jeg forsøgte derefter at føje en anden vhost på - først the-source.dk

OG DET VIRKEDE - HURRA! ...
Men glæden var dog kort - for jeg føjede også Fant.dk på - og så virkde det ikke mere...

Jeg har dog funde ud af, at det er rækkefølgen, som har betydning her (jeg har altid været vant til at indsætte vhost'ne i alfabetisk rækkefølge - men ligepræcis i dette tilfælde kommer det kun til at virke hvis vhost-definitionen for skroeder.dk (eller den vhost, som skal kunne lave alle disse alias'er) kommer først

Derfor bliver mine VHosts nu defineret i følgende rækkefølge
## SKROEDER.DK
## FANT.DK
## JEG-KOMMER-SNART.DK
## THE-SOURCE.DK
## ULLIBEAR.DK

htm >> har du et godt svar på, hvorfor jeg absolut _skal_ definere dem i den rækkefølge...

Og jeg har klaret skroeder.dk <--> www.skroeder.dk problematikken ved at indsætte følgende fil i _-biblioteket

.htaccess
###########
redirect permanent / http://www.skroeder.dk/

Aaah lækkert at det virker!

Grunden til at skroeder.dk skal være øverst er at denne er default i tilfælde af at der ikke sker nogen match på servernamet! I dette tilfælde har vi ikke noget servername på skroeder.dk og derfor vil denne ikke blive fanget af skroeder.dk - men den vil blive fanget som defailt host!

Det er derfor at jeg var inde på at du kun skulle have en virtualhost og så definere en virtualdocumentroot med hel domænet som parametre!

Hvordan vil din %-3 virke hvis der bliver forespurgt på adressen http://skroeder.dk/mappe/mappe2 ?

<< Det er derfor at jeg var inde på at du kun skulle have en virtualhost og så definere en virtualdocumentroot med hel domænet som parametre! >>

mener du det der %2.0.%3.0 ???

-----
Ang %-3 >>
Hmm .. Det ser ud til (fra min access.log) at forsøger man at få fat i skroeder.dk/mp1/mp2, så redirecter den til www.skroeder.dk/mp1/mp2

Først laver den et opslag på skroeder.dk, hvor den får redirect (301)
  skroeder.dk 194.255.169.191 - - [07/Jun/2003:16:05:02 +0200] "GET /mappe/mappe2 HTTP/1.1" 301 313

Derefter søger den igen - men på "www" subdomænet :-) og der får den FnF(404)
  www.skroeder.dk 194.255.169.191 - - [07/Jun/2003:16:05:02 +0200] "GET /mappe/mappe2 HTTP/1.1" 404 284

Ja præcis det med at bruge domænet dom parametre %2.0.%3.0

Hvad hvis det er to mapper der eksisterer? Vil den finde de rigtige mapper eller vil den melde fejl?

mener du hvis mapperne
  d:/www/skroeder.dk/_/mappe1/mappe2
rent faktisk eksisterer eller ?? 

(ps: har droppet "sites" biblioteket så "_", "www" og andre subdomæne-mapper nu ligger i d:/www/skroeder.dk/)

det tyder på at alle requests jeg laver på http://skroeder.dk domænet bliver redirected til http://www.skroeder.dk (pga min .htaccess)

Ja altså du har en mappe i skroeder.dk biblioteket som eksisterer, og du prøver at forespørge på denne ved at skrive skroeder.dk/mappenavn

evt. hvis du skriver www.skroeder.dk/mappenavn ??

jeg er lige lidt lost her...

ligger "mappenavn" i
  d:\www\skroeder.dk\_\
eller i
  d:\www\skroeder.dk\www\

hvis den ligger i "_" så vil man ikke kunne få fat i den, da man med det samme bliver 301'et

ligger den derimod i "www", så er den fint tilgængelig - også hvis man skriver http://skroeder.dk/mappenavn

Men jeg har så heller ikke nogle planer om at ligge noget indhold i http://skroeder.dk - jeg har det fint med at man automatisk bliver forflyttet til http://www.skroeder.dk

Derfor skal der hellerikke andet indhold i "_" mappen end .htaccess filen :-)

OK jeg mente når mappen lå i www. Og det jeg frygtede lidt var at når man har %-3 ville den tage det 3 sidste led, uanset hvad man så skrev efter!

nope - den tager kun det 3. sidste af domænenavnet - og hvis det ikke findes, returneres "_"
dvs.
  www.skroeder.dk    = "www"
  skroeder.dk        = "_"
  foo.bar.skroeder.dk = "bar" (men jeg har så heller ikke tænkt mig at have sub-sub-domæner :-))

Ligeså

www.skroeder.dk/mappenavn = www og ikke skroeder
www.skroeder.dk/mappenavn/mappe2navn = www og ikke dk

Så er det helt perfekt ;o)

Det er også derfor jeg hellere vil bruge %-3 end jeg vil bruge %1

med %-3 :
  skroeder.dk = "_"
  www.skroeder.dk = "www"
  foo.bar.skroeder.dk = "bar"

med %1
  skroeder.dk = "skroeder"
  www.skroeder.dk = "www"
  foo.bar.skroeder.dk = "foo"

jeg har det bedre med "_" end "skroeder" :-))

Yup, kan godt forstå dig ;o) - Jeg havde bare misforstået dokumentationen

Jeg går vel ud fra at du skal have nogle points :-))) (selvom der er 999 points ned til nærmeste konkurrent til #1 pladsen *LOL*)

Her er de så  - og tak for samtalen :-)

/Søren Munk Skrøder

hmm... Ud fra access.log'en kan jeg se, at vi har endnu en lytter med os ...
  matisen.lir.dk *S*

mathiash >> fandt du noget, du kunne bruge her ????

LOL - man skal jo holde sin førsteplads ;o)

Jeg takker da også for samtalen :D

Jamen han skal da være velkommen

TEST -- MULIG BUG - DET ER BEARHUGX, SOM SKRIVER HER....

Shit ... Jeg har lige fundet et graverende bug på eksperten...

huh? Hvordan det? er det dig (søren) der skrev forrige indlæg?

Yeps .... - jeg vil gerne forklare senere - lige nu skal jeg have skrevet en mail til admin!

hmm, har lige set på spm men har aldrig skrevet her jvad foregår der?
er vist sket før: http://www.schaefner.dk/~upload/temp/weird.jpg

mathias >> hvis du læser dette, så undskyld at jeg lige hi-jackede din profil et øjeblik - men jeg havde en mistanke, som jeg lige måtte afteste!

Ved der er nogle andre der har haft det problem, med at de har skrevet i et spørgsmål de aldrig har deltaget i! Fedt hvis du har fundet ud af hvorfor

okai, hvordan skete det?
og hvorfor står der: mathiash >> fandt du noget, du kunne bruge her ????
Er forviret :-S

skal jeg sende en mail til admin og gøre ham opmærksom på buggen ?

Mathias >> Det er fordi at jeg kunne se, at du har kigget spørgsmålet igennem - selv inden at du/jeg/din profil begyndte at skrive i dette spm :-)))

okai bearhugx har gjort det ^.^

Det jeg gør nu er at jeg først kontakter coadmin for at høre om dette allerede er en kendt bug (det er den formentlig - da den ikke er særlig svær at opdage...)

Hvis ikke, så kontakter jeg admin

hvorhenne kunne du se det?

(er nysgerig)

bearhugx>>Jeg tror de ved buggen er der, men ikke hvordan den fremkommer! Derfor en meget god ide med at kontakte admin!

Fordi jeg i nat stødte på dit navn i forbindelse med løsning af mit eget problem - men primært fordi din IP-adresse er penslet ud over hele min access.log :-))) - tro ikke at det ikke tager mig under 2 sekunder at lægge to og to sammen... *LOL*

PS : Hvilken browser bruger du -- Den synes meget aggressiv mht. GET requests

IE 6.0 :0)

ok - har lige anmeld mig selv (med kontakt-oplysninger) -- taget i betragtning at jeg jo har foretaget en profil-kidnapning :-=)

Håber at der kommer en CoAdmin på snarest...

okai :0)

Mathias - Jeg laver lige endnu et forsøg (vil gerne vide - lige præcis _hvor stor_ kontrol jeg har med din profil ... Om lidt vil du se "bearhugx was here" på dit minisite

okai :0)

done ... kig nederst på "minisitet"
http://www.eksperten.dk/bruger.phtml?navn=mathiash

er jo vildt!
Sletter senere :0)

Det er en skræmmende omfattende bug :( - Skal du bare bruge brugernavnet, eller?

hvad mener du?

Det ser ud til at jeg har din profil i min hule hånd - Jeg har beføjelser til at oprette spørgsmål - svare på dine vegne - ændre hvilken som helst indstilling (f.eks. mail) eller helt at deaktivere din konto :-/

Det er jo ikke så godt...

Har hørt om den bug i lang tid nu!

Det værste er dens enkelthed - Det er også derfor at jeg ikke pt. siger "hvordan" jeg gør det (for ellers ville der være en masse lamers som evt. begynde at udnytte hullet) ... Men samtidig kan jeg så sige, at man skal være meget heldig for at bruge hullet (vi taler om "small-window-of-opportunity" her!)

Noget med at bruge cookies ved login

Nej det er ikke godt! Det jeg har set hidtil er mere eller mindre uvidende omkring hvad der sker! Men her er det jo rimeligt bevist!

Hvormeget bruger du af oplysninger, for at tage kontraol over en anden profil?

sukos >> jeg kan afkræfte at det har noget med cookies at gøre...

ok :0)

Den skal ordnes HURTIGT! :-S

Hmm ... jeg har ikke hørt fra nogen coadmin endnu, så jeg formulerer en mail til admin@eksperten.dk


I mellemtiden, så skal jeg bede dig om at gøre noget Mathias >>
du skal lukke alle dine browservinduer ned og først komme ind på eksperten igen kl. 2 minutter senere (så har jeg tid til også at disconnecte mig :-)

okai :D

mathias >> du har haft alle dine exploerer lukket ned ???

jep

naej øhh en på www.jubii.dk :0)

super ... Jeg har nu ikke længere kontrol med din profil... :-)

okai :0)

PS : har pt. en samtale med en CoAdmin, hvor jeg fremlægger sagen...

okai kommer til at køre :0)

??

/GÅ. Er her igen!:0)

bearhugx>> Hvordan går det? Har du fået snakket med coadmin / admin - og bedre endnu, er problemet løst ?

Jeg har fået snakket med en CoAdmin, som sagde at problemet er kendt af admin, og at et fåtal andre brugere kender denne usikkerhed.
Hvordan admin vælger at prioritere lukningen af dette hul, ved jeg ikke - men der er faktore, som kunne tyde på at admin ikke sætter det højst på sin to-do liste.

Blandt andet på grund af, at man skal være utrolig heldig for, på nogen som helst måde, at kunne udnytte hullet. Der er tale om indikationer som skal reageres på meget hurtigt (et variabelt interval, som kan betyde alt lige fra under 1 minut til flere timer - men stadigvæk et såkaldt "Window of opportunity")

Exploiten virker på en måde, så man er passiv i udvælgelsen af offer - dvs. at jeg ikke specifikt kunne sætte f.eks. "htm" som mit mål.
Hvis man skal bruge en metafor, så er det offeret, som kommer (uvidende) til jægeren - og ikke jægeren som specifikt går på jagt.
(hvilket gør exploiten til et spørgsmål om tilfældighed snarere end udvælgelse, mht. offer)

Opsummeret kan følgende argumenter fremlægges, som gør exploiten har begrænset praktisk nytteværdi for en, som skulle ønske sig at overtage en anden bruger:

- Man har ikke kontrol over, hvornår mulighederne opstår
- Man ved ikke, hvorlænge et vindue står åbent (eller om det allerede er for sent), når man opdager muligheden
- Man har ikke mulighed for specifikt at udvælge en bruger - men er overladt til praktisk tilfældighed, når det gælder, hvilken bruger, man får kontrol over

Der er derfor en _meget lille_ sandsynlighed for at man har noget praktisk udbytte af exploiten
dog bør man ikke undervurdere, at hvis man, på trods af ovenstående, lykkes at få kontrol over en bruger, så har man lige så meget kontrol over brugeren, som man har sin egen - man har rettigheder til at ændre email-adresse, svare/kommentere/afvise/uddele points i brugerens sted, ændre minisite-oplysninger, ændre kategori indstillinger - og ja - deaktivere konto'en

Sum Summarum >> Dette er en meget alvorlig exploit - men sandsynligheden for en praktisk,  målrettet udnyttelse er _meget_ lav - derudover er der kun et fåtal af brugere som ved, hvordan exploiten virker (og derfor, hvordan den kan udnyttes)...

Derfor kan jeg fuldt ud forstå, hvis admin ikke placerer lukningen af denne exploit højest på sin to-do-liste - jeg er heller ikke selv klar over, hvor nemt det vil være at lukke hullet...

/Søren

huh ha - sikke en smøre ;o)

Men det er rart lige at få en opsumering! Jeg syntes at hullet er meget alvorligt, men kan godt at det forekomme noget spotant, men mon ikke en person med gode hackeregenskaer vil kunne bruge dette hul, som en desideret "jæger".

Jeg ville, hvis jeg sad som admin sætte sikkerhedshuller af denne kaliber med høj priotet, da det gælder brugernes sikkerhed, og i sidste ende ekspertens idegrundlag!

Dog har jeg også stadigvæk svært ved at se hvordan man kan tage kontrollen over en anden bruger, og hvilke handlinger der ligger til grund for dette! Men lad det nu ligge, det skal vi ikke snakke om hvordan det sker!

Så må vi bare spændt sidde tilbage og vente på at hullet bliver lukket!

Jeg er sikker på at problemet vil blive løst :-)

Godt at høre ;o)

Jep! Godt at høre :0)