[TYPO3-german] [SYS][displayErrors] = 1 oder wie "informiere" ich die Welt da draußen über mein MySQL Password

Peter Linzenkirchner liste at lisardo.de
Thu Feb 16 09:52:12 CET 2017 

Hallo Michael, 

eigentlich braucht es keinen Hinweis dazu, weil man in einem Produktivsystem niemals und unter keinen Umständen eine öffentliche Fehlerausgabe aktiviert. Das ist völlig unabhängig von TYPO3. Wenn dir die Fehlermeldungen helfen, so helfen sie natürlich auch Hackern. Deshalb gibt es in TYPO3 die Möglichkeit Sets auszuwählen: Produktiv vs. Entwicklung. Ausserdem hast du die Möglichkeit, die Fehlerausgabe nur für bestimmte IP-Nummern zu aktivieren, siehe devIPmask. 

https://jweiland.net/know-how/typo3-fehlersuche.html#c2068

Gruß
Peter

> Am 16.02.2017 um 03:57 schrieb Michael_OF <michaelof at rocketmail.com>:
> 
> 
> Hallo zusammen,
> 
> 
> ich habe gerade etwas entdeckt, dass mich doch sehr unangenehm überrascht hat.
> 
> Vor einer Weile habe ich
> 
>   [SYS][displayErrors] = 1
> 
> gesetzt, da ich es etwas lästig finde, mit oft nur einem Exception Code und sonst keiner weiteren Information auf meinem
> VPS in den Log-Dateien nach diesem Exception Code suchen zu müssen. Um im Ergebnis dann eine unformatierten "Einzeiler"
> sensationsverdächtiger Länge zu erhalten.
> 
> Da fand ich die übersichtlichen Informationen der "Uncaught TYPO3 Exception" Seite über [SYS][displayErrors] = 1 doch
> wesentlich angenehmer.
> 
> Gerade eben musste ich aber meinen VPS einmal neu starten. Und da der Apache etwas schneller komplett oben ist als
> MySQL/MariaDB, lief der Backend-Login in einen (nachvollziehbaren) "Connection refused" Fehler.
> 
> Dass aber diese "Uncaught TYPO3 Exception" Seite in der Zeile
> 
>   mysqli::real_connect("<host>", "<user>", "<paswort>", "", <port>, "", 0)
> 
> der ganzen Welt User und schlimmer noch Passwort des TYPO3-Datenbank-Users mitteilt, nun damit hätte ich wirklich nicht
> gerechnet.
> 
> Auch wenn meine Datenbank-Instanz nur auf localhost hört, ausfallen kann die immer mal. Insbesondere, wenn sie bei
> anderen mal tatsächlich auf einem anderen Server oder z.B. auch Docker Container läuft.
> 
> Solche Informationen gehören in meinen Augen auf keinen Fall in eine Fehlermeldung.
> 
> Ist das bekannt?
> 
> Hab ich eine Doku übersehen, in der deutlich hingewiesen wird, [SYS][displayErrors] = 1  auf keinen Fall in produktiven
> TYPO3-Instanzen zu setzen?
> 
> 
> Wenn nicht, werde ich das gerne mal in Forge eintragen.
> 
> 
> Viele Grüße,
> Michael
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german



--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia

More information about the TYPO3-german mailing list