[TYPO3-german] [SYS][displayErrors] = 1 oder wie "informiere" ich die Welt da draußen über mein MySQL Password

Stefan Padberg post at bergische-webschmiede.de
Thu Feb 16 08:26:29 CET 2017


Am 16.02.2017 um 03:57 schrieb Michael_OF:
> 
> Hallo zusammen,
> 
> 
> ich habe gerade etwas entdeckt, dass mich doch sehr unangenehm überrascht hat.
> 
> Vor einer Weile habe ich
> 
>    [SYS][displayErrors] = 1
> 
> gesetzt, da ich es etwas lästig finde, mit oft nur einem Exception Code und sonst keiner weiteren Information auf meinem
> VPS in den Log-Dateien nach diesem Exception Code suchen zu müssen. Um im Ergebnis dann eine unformatierten "Einzeiler"
> sensationsverdächtiger Länge zu erhalten.
> 
> Da fand ich die übersichtlichen Informationen der "Uncaught TYPO3 Exception" Seite über [SYS][displayErrors] = 1 doch
> wesentlich angenehmer.
> 
> Gerade eben musste ich aber meinen VPS einmal neu starten. Und da der Apache etwas schneller komplett oben ist als
> MySQL/MariaDB, lief der Backend-Login in einen (nachvollziehbaren) "Connection refused" Fehler.
> 
> Dass aber diese "Uncaught TYPO3 Exception" Seite in der Zeile
> 
>    mysqli::real_connect("<host>", "<user>", "<paswort>", "", <port>, "", 0)
> 
> der ganzen Welt User und schlimmer noch Passwort des TYPO3-Datenbank-Users mitteilt, nun damit hätte ich wirklich nicht
> gerechnet.
> 
> Auch wenn meine Datenbank-Instanz nur auf localhost hört, ausfallen kann die immer mal. Insbesondere, wenn sie bei
> anderen mal tatsächlich auf einem anderen Server oder z.B. auch Docker Container läuft.
> 
> Solche Informationen gehören in meinen Augen auf keinen Fall in eine Fehlermeldung.
> 
> Ist das bekannt?
> 
> Hab ich eine Doku übersehen, in der deutlich hingewiesen wird, [SYS][displayErrors] = 1  auf keinen Fall in produktiven
> TYPO3-Instanzen zu setzen?

Hallo Michael,

das ist bekannt. Deshalb gibt es ja auch die Unterscheidung im
Installtool zwischen Development settings und Production settings. Böse
Menschen können sonst künstlich durch Fehlbedienungen, Crosssite
Scripting usw. dem Server Fehlermeldungen entlocken und so an
Informationen gelangen, die nicht für sie bestimmt sind.

'BE/debug' => '0'
'FE/debug' => '0'
'SYS/displayErrors' => '0'
'SYS/sqlDebug' => '0'
'SYS/systemLogLevel' => '2'

ist Pflicht in Produktivumgebungen.

Gruß
Stefan



-- 
Bergische Webschmiede
Dipl.-Ing. Stefan Padberg
TYPO3-Integrator und Webprogrammierer
:: Borner Str. 18 - 42349 Wuppertal
:: +49 202 97648355
:: +49 173 9219845
:: post at bergische-webschmiede.de
:: http://www.bergische-webschmiede.de


More information about the TYPO3-german mailing list