[TYPO3-german] Update auf 6.2.10 Fehler wegen trusted Pattern Check

[Stephan Kleiber]

Hallo Heike,

das Problem mit dem trustedHostsPattern tritt v.a. bei 1und1 auf.
Grund dafür ist scheinbar, dass bei 1und1 SERVER_NAME und HTTP_HOST 
anders behandelt werden als z.b. bei dF oder Strato.

Testen kannst du das bei 1und1 oder anderswo recht schnell hiermit (file 
erstellen "servername_12345xyz" ... halt mit kryptischer Endung damits 
nicht leicht findbar ist):

<?php
// test  bei 1und1; Aufruf: 1) domain.de, 2) www.domain.de
echo 'SERVER_NAME: '.$_SERVER["SERVER_NAME"];
// ergibt: 1) domain.de, 2) domain.de
echo '<br /><br />HTTP_HOST: '.$_SERVER["HTTP_HOST"];
// ergibt: 1) domain.de, 2) www.domain.de
?>

Bei 1und1 ergeben sich hier unterschiedliche Werte, wenn die Domain mit 
www.domain.de aufgerufen wird.
Bei dF und Strato sind die Werte jeweils identisch und entsprechen der 
aufgerufenen URL - eben mal mit, mal ohne www.

Die schnelle und vmlt. recht unsichere Lösung hast du ja schon gefunden:
$TYPO3_CONF_VARS['SYS']['trustedHostsPattern'] = '.*';

Eine mögliche Lösung aus dem Shopware-Forum ist, SERVER_NAME=HTTP_HOST 
zu setzen.
http://forum.shopware.com/installation-einstieg-f9/installationsproblem-bei-1und1-auf-shared-server-t1345-10.html

also das hier
$_SERVER['SERVER_NAME'] = $_SERVER['HTTP_HOST'];

Vielleicht klappts ja damit, einfach mal testen.

Viele Grüße
Stephan


...







Am 11.03.2015 um 11:04 schrieb Heike Herzog-Kuhnke:
> Hallo Bernd,
>
> danke nochmal. Ich werde mal mit Dreamweaver auf den Server schauen.
> Bisher habe ich das 1&1 Webinterface verwendet, weil ich nicht im Büro bin.
>
> Mal sehen, was ich dann finde.
> Sollte sich daraus nichts ergeben, werde ich die Sache an die Forge
> weitergeben. Es irritiert mich schon sehr, dass es mit dieser Eintragung
> klappt und mit der korrekten nicht.
>
> Hast Du eine 6.2.10 auf einem "normalen Server" am Laufen, bei der Deine
> "Klammer-Lösung" angenommen wird? Wie gesagt, auf der suche nach dem
> Problem habe ich einige Seiten mit dem Tipp gefunden das Ganze einfach
> zu deaktivieren.
>
> Mit welchen Problemen muss man denn rechnen, wenn man es deaktiviert?
> Hast Du da zufällig einen Link zu dem Thema?
> Ich hab den Kunden jetzt shcon mal drauf hingewiesen, dass da aus
> Sicherheitsgründen eine Einschränkung sein wird, aber es wäre mir
> wohler, wenn ich bei einem Gespräch auch wüßte, welche Gefahren es gäbe,
> wenn er sich für eine Deaktvierung entscheidet.
>
> Da die Seite wahrscheinlich sehr bald online gehen wird, habe ich nicht
> mehr so viele Chancen zu testen, was ich aber gerne machen werde.
>
> Alles Liebe
> Heike
>
>
> Am 11.03.15 um 09:03 schrieb bernd wilke:
>> Am 11.03.15 um 07:41 schrieb Heike Herzog-Kuhnke:
>>> Ich dachte heute morgen, ob es vielleicht mit meiner Datenbank
>>> zusammenhängen würde, die ich ja erst gestern wirklich auf UTF-8
>>> gestellt habe.
>>
>> sehr unwahrscheinlich, insbesondere sind Klammern in allen Zeichensätzen
>> an der gleichen Stelle kodiert.
>>
>>> Aber das ist es nicht. der 1&1 Server will einfach keine Klammern
>>> interpretieren. Nur mit der vorher genannten Konfiguration kann ich die
>>> Seite mit com und de aufrufen. Alle anderen Varianten führen zu dem
>>> Fehler. Kann das vielleicht mal jemand ausprobieren, ob das auch bei
>>> anderen Servern funktioniert?
>>
>> das wird wohl nicht speziell am 1&1-Server liegen.
>> ich würde jetzt eher einen Bug vermuten.
>> Du kannst ja mal ein Ticket in Forge anlegen.
>>
>>> Da ich im Web nur Lösungen gefunden hatte, die das Ganze komplett
>>> deaktivieren und diese Variable ja nicht eingeführt wurde, weil die
>>> Entwickler Spaß daran haben arme Admins zu ärgern, sondern weil sie Sinn
>>> macht, wäre das unter Umständen eine Sache, die man verfolgen sollte.
>>
>> die Einstellung gibt es wohl schon länger, sie ist jetzt nur mit einem
>> anderen (sehr restriktiven) Defautl versehen.
>>
>>> Ich bin froh, dass es jetzt geht, aber auch irritiert.
>>> Mit den Domain Records bin ich irgendwie nciht weiter gekommen, weil ich
>>> da ja aktiv nix mache. Ich leite im Admin bei 1&1 dann die Domain auf
>>> die Seite um, das wird dann wohl ein Redirect auf Server-Seite werden.
>>> Aber momentan ist der noch nciht eingerichtet, weil ich mit dem
>>> Konfigurieren noch nciht fertig bin.
>>
>> die Domainrecords sind eigentlich eine gute Sache, weil sie ein paar
>> Konfigurationen einfacher machen.
>> in den Domainrecords kann man zb. folgendes einrichten, was aber eher in
>> die .htaccess gehört:
>> Aufrufe mit <domain>.<tld> werden nach www.<domain>.<tld> weiter
>> gereicht. Sinnvoller ist da schon:
>> www.<domain1>.<tld> an www.<domain2>.<tld> weiterreichen. zb. wenn die
>> Website demnächst über eine neue Domain aufgerufen und gefunden werden
>> soll. Google mag gleichen Inhalt unter verschiedenen Domains gar nicht
>> so gern. da hilft es wenn man google sagt: du kannst zwar alle domains
>> für den Zugriff benutzen, aber offiziell ist es immer diese Domain.
>>
>>> Verzeichnisschutz ist keiner drin, das kann es auch nicht sein.
>>>
>>> Die _.htaccess kann ich nciht umbenennen und die echte sehe ich nicht.
>>
>> entweder ein anderes Tool, oder in den Einstellungen zu deinem Tool
>> nachgesehen. irgendwo kann man meist einstellen: "auch versteckte
>> Dateien anzeigen".
>>
>>
>> bernd
>