limitrequestbody Wer weis was darüber

[SaTaN]

Hallo,

Ich habe ein kleines problem.
Bin im besitz eines REDHAT 8.0 WEBSERVER.
APACHE 2.0.40 habe ich installiert.

Nun ist mir folgendes beim Programmieren aufgefallen.
Ich bin gerade dabei ein Upload Script in PHP zu schreiben.

Beim ständigem testen ist mir aufgefallen das ich immer ein error 413 bekomme.
Wollte wissen wieso.

Bis ich auf eine Einstelung im APACHE gekommen bin.
Die derektive heisst limitrequestbody.

Was hat es mit dieser Derektive auf sich ?

Ich kann sie deaktivieren und das ganze über PHP begrenzen und bekomme die gewünschte Seite von mir.

Was meint Ihr dazu ?
Ist es besser die Derektive zu setzen, oder ist es nicht schlimm wenn ich
sie deaktiviere.

Habe damit bis jetzt keine Erfahrung gemacht.
Wäre nett wenn der eine, oder andere was dazu sagen könnte.

Vielen Dank

euer SaTaN

 

[Neurodeamon]

LimitRequestBody ist dazu da um den Dateiuploads in der Größe zu beschränken. Man kann einstellen 0 (für unendlich) bis hoch zu 2 GB (Der LimitRequestBody-Wert wird aber immer in Bytes angegeben)

Warscheinlich ist nur die Datei zu groß, die Du übertragen möchtest. Erhöhe in diesem Fall einfach den Wert ein wenig. Zu groß sollte der Wert allerdings nicht sein, man macht sonst einen DoS-Angriff Tür und Tor auf.

 

[SaTaN]

Hallo Neuro,

Gutes Forum, ich weis schon warum ich diesem Forum treu bleibe.

Neuro soweit bin ich auch gekommen was das mit dem limitrequestbody
auf sich hat.

Worauf ich hinaus möchte ist, was du nur mit einem Wort angesprochen hast.

Wenn ich denn Wert mit "0" unendlich mache, oder vielleicht zu gross mache,
was könnte mir passieren wenn ich attackiert werde ?

Wie hoch sollte der Wert max. erfahrungsgemäss sein ?
Sind 50 MB schon zuviel ?
Kann ich die Zeile limitrequestbody ohne Gefahr löschen ?
Ab wann ist man in gefahr mit der DoS Attacke ?

Wieso ist diese Funktion im Apache nicht bei der Windows Version bei ?

Will ja mein Server nicht in Gefahr bringen.

Würde mich freuen auf eine Antwort.

Vielen Dank

euer SaTaN

 

[Neurodeamon]

Wenn ich mich jetzt nicht täusche spielt der Befehl bei Apache 2 sowieso keine Rolle mehr. Aber der DoS attack spielt sich ungefähr so ab:

Das ScriptKiddie schaut ob auf der Seite ein Gästebuch oder etwas ähnliches ist und schickt dann (natürlich nicht aus dem Formular selbst, sondern über übliche Tools, mit denen man post und get verschicken kann. Jetzt füllt er get oder post auf (zum beispiel mit simplem text - nur halt riesenmenge) und schickt die zum server. Der Server kommt mit der Datenmenge nicht klar, bzw. bei multiplen Angriffen verabschiedet sich der http-deamon.

So einfach wie möglich formuliert

Standard sind 100 - 250 k limitrequestbody, soweit ich weiß.

Hmm.. ich bin nicht ganz sicher bei all dem, aber ich glaube mich nicht zu täuschen.

 

[SaTaN]

Moin Neuro,

na du Nachtschwärmer. :-(

Ok, ich habe verstanden !

Nur dann bringt mit das ja nichts ein Formular zu haben, wenn es sicherer ist
limitrequestbody nur ca. 250KB zu haben.

Da ja einige jpg ja schon 800 KB - 1MB haben.

Wie machen denn die grossen Firmen wie KODAK wo man z.B. online 150 MB
jpg (Bilder) uploaden kannst die dann von dennen bearbeitet werden ?

Wenn das denn so unsicher ist mit der DoS Attacke und dieser Einstellung, wie sichert man sich denn davor wenn man grössere Datenmengen über ein Formular abschicken möchte ?

So, das wars erstmal was ich noch wissen möchte.

Neuro melde dich ruhig wieder mal.
Vielleicht lässt es sich auch online besser diskutieren.

Vielen Dank dir erstmal.

euer SaTaN

 

[Neurodeamon]

Indem man Formular zum Uploaden nur für bekannte Mitglieder macht
Passwortsicherung, Anmeldung, usw.

Wie das genau mit Version 2 ist, weiß ich leider nicht.
Letztenendes kann man das Script, das das Formular auswertet ja absichern, sodass der Server nicht unbedingt dicht machen muß.