Neue Installation, Probleme mit Zugriffsschutz (404)

[buggrabber]

Hi,

ich suche aktuell nach einem neuen Shopsystem, da unser vorhandenes (oxid) in meinen Augen nicht mehr als eine eierlegende Wollmilchsau ist, an der man ohne Ende rumfrickeln muss, weil 85000000 Zeilen unnützer Code vorhanden sind.

Bin soweit von Geschwindigkeit und Oberfläche vom Randshop angetan und wollte nun die Grundeinrichtung vornehmen.
Soweit so gut, schon gibt es Probleme

### ### ### Meine Config findet sich ganz unten im Post. ### ### ###

### ### ### 1) Adminbereich + Zugriffsschutz = 404 ### ### ###
Generell tritt nach der Aktivierung des Zugriffsschutzes überall unter /admin ein 404 auf.

Wie man unten an meiner Config sieht habe ich schon etwas umgestellt, aber es trat auch vorher auf.
Meine Änderung ist lediglich das Entfernen vom Modulcheck sowie Anpassung des 301 auf die Subdomain.

Interessant: Entferne ich die letzten fünf Zeilen funktioniert alles.
Ich bin jetzt mit der htaccess nicht soooo fit und kann es daher nicht analysieren.

### ### ### 2) Adminbereich + User anlegen = falsches passwd-File ### ### ###
Ich hatte zum einen erwartet, dass ein "echtes" Usermanagement implementiert ist...ist für uns jetzt nicht relevant, aber vllt. so als Tipp für einen zukünftigen Milestone.

Das Problem das auftritt ist, dass im passwd-File "admin:%HASH%" landet.
Der User heißt natürlich anders.
Das System schreibt also offensichtlich Murks da rein, und es manuell zu pflegen macht absolut keinen Sinn.

Gruß
Oliver

### ### ### Config ### ### ###

/...................../darkcrypt/randshop/.htaccess

Code: Alles auswählen

RewriteEngine On

RewriteBase /

RewriteCond %{HTTP_HOST} !^randshop\.darkcrypt\.org$ [NC]
RewriteRule ^(.*)$ http://randshop\.darkcrypt\.org/$1 [L,R=301]

RewriteCond %{REQUEST_FILENAME} -s [OR]
RewriteCond %{REQUEST_FILENAME} -l [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^.*$ - [NC,L]
RewriteRule ^.*$ bootstrap.php [NC,L]


/...................../darkcrypt/randshop/conf/config.inc.php

Code: Alles auswählen

<?php

//  Copyright (c) 2004-20013 randshop
//  http://www.randshop.com
//
//  Unter Lizenz von randshop
//
//  Letzte Bearbeitung: 11.02.2013


// *************** Die Daten fuer die Datenbank eintragen *****************
// *          Die Namen bekommt man meistens von seinem Provider         *
// ************************************************************************/

$datenbankname = '.....................';
$server = '.....................';
$user = '.....................';
$passwort = '.....................';


/*************** Optionale Einstellungen ************/
$variantenAnzahl = "4"; // Einstellungen der Variantenthemenanzahl
$kurzTextAusgabe = "150"; // Zeichenbegrenzung bei der Uebersichtsausgabe
$bestelluebersichtAnzahl = "90"; // Wieviel Tage kann der Kunde seine Bestellungen einsehen
// mit dieser varibale kannst du den prefix vor den tabellen easy aendern!!!
DEFINE("SEITENMAXIMUM", 4); // Seitennavigation
$config = new stdClass();
$config->tablePrefix = "randshop_";

// Hauptsprache auswaehlen
if(!isset($_SESSION["langu"])) { $_SESSION["langu"] = "de"; }
ini_set("display_errors", 0);
error_reporting(E_ALL ^ (E_NOTICE));
ini_set("default_charset", "");


define(SSL_CHECKOUT, false);
if((strstr($_SERVER['SCRIPT_NAME'], 'bestellen/index.php') || strstr($_SERVER['SCRIPT_NAME'], 'bestellen/auftragsbestaetigung.php')) && SSL_CHECKOUT || $_SERVER['HTTPS']) {
define('PROTOCOL', 'https'); } else {
define('PROTOCOL', 'http'); }

define("URLPFAD", PROTOCOL . "://randshop.darkcrypt.org/");
if(SSL_CHECKOUT) {
define("URLPFAD_SSL", "https://randshop.darkcrypt.org/"); } else {
define("URLPFAD_SSL", "http://randshop.darkcrypt.org/"); }

define("URLPFAD_NOSSL", "http://randshop.darkcrypt.org/");
define("DATEIPFAD", "/...................../darkcrypt/randshop/");
define("IMAGEPFAD", PROTOCOL . "://randshop.darkcrypt.org/images/");

define("ADMINPFAD", "/...................../darkcrypt/randshop/admin/admin_neu/");
define("ADMINURLPFAD", PROTOCOL . "://randshop.darkcrypt.org/admin/admin_neu/");


// Modul eBay
DEFINE("RUNAME", "DieRandgruppe-Randshop-FetchToken");

define("INSTALL", false);
define("DLSTATUS", 3);
define("LANGU_ADMIN", "de");
define("CHARSET", "utf-8");

define("SQLCHARSET", "utf8"); // Bei ISO-8859-1 latin1 verwenden (nur zu empfehlen bei älteren Shop Versionen unter 1.3, die auf ISO gelaufen sind.

// Modul - Artikeldownload
$ArtikelDownloadFSPfad = DATEIPFAD . "data/dateidownload/";
$ArtikelDownloadHTTPPfad = URLPFAD . "data/dateidownload/";

define('GASTKUNDEN_BASE', 1000000);

// Zeitinitialisierung
date_default_timezone_set("Europe/Berlin");

?>


[bonsai]

/...................../darkcrypt/randshop/.htaccess

Code: Alles auswählen

RewriteEngine On

RewriteBase /

RewriteCond %{HTTP_HOST} !^randshop\.darkcrypt\.org$ [NC]
RewriteRule ^(.*)$ http://randshop\.darkcrypt\.org/$1 [L,R=301]


/...................../darkcrypt/randshop/conf/config.inc.php

Code: Alles auswählen

<?php


define("URLPFAD", PROTOCOL . "://randshop.darkcrypt.org/");
if(SSL_CHECKOUT) {
define("URLPFAD_SSL", "https://randshop.darkcrypt.org/"); } else {
define("URLPFAD_SSL", "http://randshop.darkcrypt.org/"); }

define("URLPFAD_NOSSL", "http://randshop.darkcrypt.org/");
define("DATEIPFAD", "/...................../darkcrypt/randshop/");
define("IMAGEPFAD", PROTOCOL . "://randshop.darkcrypt.org/images/");

define("ADMINPFAD", "/...................../darkcrypt/randshop/admin/admin_neu/");
define("ADMINURLPFAD", PROTOCOL . "://randshop.darkcrypt.org/admin/admin_neu/");




Der Pfad randshop.darkcrypt.org ist doch sicher nicht richtig. Der richtige Pfad sollte doch nur darkcrypt.org sein, da Dein Domain doch darkcrypt.org heißt oder sehe ich das verkehrt?

[buggrabber]

Ist ne Subdomain.

[bonsai]

Aber doch nicht bei Randshop ??

[Magnus]

Hi,

schon mal versucht den Zugriffschutz über das Kundenportal deines Providers einzurichten? Da gibt es sicher eine Konfigurationsoberfläche über die sich das einrichten lässt.

viele Grüße

Magnus

[buggrabber]

Aber doch nicht bei Randshop ??

Eieiei....gar nicht so kompliziert denken !

shop.darkcrypt.org ist bereits durch unseren oxid-Shop belegt, daher habe ich zum Testen einfach randshop.darkcrypt.org erstellt. Hat alles seine Richtigkeit.

schon mal versucht den Zugriffschutz über das Kundenportal deines Providers einzurichten? Da gibt es sicher eine Konfigurationsoberfläche über die sich das einrichten lässt.

Wie gesagt, das händisch einzurichten wäre nicht das Thema.
Problematisch fand ich, dass keinerlei Bezug zu meinen angelegten Usern stattfand.

[buggrabber]

So, nach ein wenig Rumprobieren kann ich es eingrenzen.

Es ist

Code: Alles auswählen

RewriteCond %{REQUEST_FILENAME} -d

kombiniert mit einer noch nicht vorhandenen Authorisierung über die .passwd.

Sobald ich authorisiert bin kann ich die entsprechende Zeile auch wieder aktivieren ohne dass es zu Problemen kommt, ist sie vor der Authorisierung aktiviert ergibt jeder Link im Adminbereich einen 404 wie oben beschrieben - eine Loginabfrage erscheint nicht !

[mmaass]

Hmm, leere mal einfach das passwd File sowie die htaccess.
Im Admin die Benutzer auch löschen.
Und dann alles von vorn ganz frisch. Schau mal dann, ob überhaupt was eingetragen wurde.

Benutzerverwaltung ist übrigens geplant aber erst mal müssen wir dafür das etwas in die Jahre gekommende Admin an sich auffrischen.
Dauert alles ein wenig.

[buggrabber]

Hmm, leere mal einfach das passwd File sowie die htaccess.
Im Admin die Benutzer auch löschen.
Und dann alles von vorn ganz frisch. Schau mal dann, ob überhaupt was eingetragen wurde.

Wenn ich eins hasse sind es Fehler die dann einfach nicht mehr auftreten.
Gleicher User, gleiches Passwort.

Der einzige Unterschied ist vllt. noch dass die id in der DB jetzt höher ist als vorher, aber ohne es geprüft zu haben würde ich das mal ausschließen
Muss man nicht verstehen.

Benutzerverwaltung ist übrigens geplant aber erst mal müssen wir dafür das etwas in die Jahre gekommende Admin an sich auffrischen.
Dauert alles ein wenig.

Cool ! Und klar dass es nicht von heute auf morgen geht, das muss ja auch bulletproof sein und das braucht Zeit/Testing.

Da der Adminzugang jetzt auf magische Weise seine Kennwörter richtig speichert:
Ne Idee warum ich unauthorized auf die 404 geleitet werde ?

Mein Workaround ist aktuell die htaccess im / zu löschen, mich einzusignen und sie dann wieder einzufügen....das ist natürlich von hinten durch die Brust ins Auge

[mmaass]

Ja, dass ist immer schön und nicht reproduzierbar. Also demnach dann auch nicht mehr lösbar.

Tausch mal in der bootstrap.php am ende die folgenden Zeilen aus:

Aus
header('Location: ' . URLPFAD . 'themes/error/error_404.php');

mach
include_once(DATEIPFAD . "themes/error/error_404.php");

Damit kannst Du dann im Firebug -> Netzwerk sehen, von wo aus der Fehler wirklich kommt.

Aber ich vermute mal, dass Du in Deiner normalen htaccess vielleicht noch einen klitze kleinen Fehler drin hast und er nicht weis, wohin er weiterleiten soll oder den Ort nicht findet.

[buggrabber]

Firebug hat mir zwar keine neuen Erkenntnisse gebracht, da es nur aufzeichnete ".../admin -> 404", aber ich habe nochmal was rumprobiert.

Ich muss ja jetzt sagen: Manchmal hasse ich Webserver.

Mir war nicht klar dass Apache die .htaccess meiner übergeordneten Domain brav durchvererbt. Habe die einfach mal testweise weggelöscht, und tada !

Habe dann etwas weiter einzelne Zeilen entfernt, und hieran liegt bzw. lag es:

Code: Alles auswählen

ErrorDocument 401 /err/401.php

Habe jetzt als kruden Hack einfach

Code: Alles auswählen

ErrorDocument 401 /admin

in die .htaccess der Subdomain geklatscht, weil die einzige .passwd die dort genutzt wird sowieso die zum Adminbereich ist.

Bösartig schäbiger Quickfix, ich weiß , aber im Endeffekt so simpel wie effektiv

[mmaass]

Und das Shopsystem ist fein raus, war der Server.
Aber darauf hätte ich auch kommen können/müssen, hatte ich auch schon mal in einem anderen Projekt.

[buggrabber]

Jap. Das ist das doofe dass das auf den ganzen Einführungsseiten zur htaccess nie erwähnt wird.
Ich nutze die ja bei weitem nicht professionell sondern ergoogle mir das was ich brauche.

Andererseits, klar, woher soll der Apache jetzt beim Ausliefern von dir....subdir.....subdir.....subdir wissen dass das eine Subdomain ist, im Endeffekt ändert sich für ihn nur der String mit dem er den vollständigen Pfad auf dem FS zusammensetzt - und dann wird halt jede htaccess auf dem Weg abgehandelt.

Habe dann auch feststellen müssen dass es wohl keine "NoInheritance"-Regel gibt, weil ich damit die serverweite htaccess negieren könnte.
Einfach gnaaargggg

Ich bin aber echt begeistert vom Gesamtbild des Shops, ihr habt das wirklich gut umgesetzt - neben den Funktionen vor allem auch optisch.
Aus dem Nähkästchen geplaudert: oxid hat bei uns bei mächtigen <100 Bestellungen und <20 Artikeln insgesamt ca. 10 Sekunden geladen bis mal eine Bestellung mit ihren Daten da war.
Das war echt Rotz das System. Dann doch lieber schnell und sauber.

Werde mal mit unseren Vereinsmitgliedern reden, denke wir leisten uns dann eines der kleinen Plugins als Dankeschön
Auf jeden Fall auch schonmal von mir Danke fürs Aushelfen.

[mmaass]

Kein Thema.

Systeme wie Oxid sind an sich sehr gut aber es sind Enterprisesysteme, sprich, die Zielgruppe ist nicht der kleine Unternehmer.
Die Softwarestruktur ist auch enorm gross und somit können diese Teile oft nur mit Hardware totgeschlagen werden und das kostet.
Und nicht nur das, auch das Einrichten ist komplexer und selbst dran basteln. Da braucht man dann wirklich Programmiererknowhow und dann ist man auf ein mal schnell bei 5000,- EUR für ein vermeintliches Gratissystem.

Drum prüfe, wer sich eweig bindet.

[buggrabber]

Ich fands halt schade, dass der oxid von Anfang an nur massive Probleme verursacht hat, auch abgesehen von der Performance.
Versandeinstellungen funktionieren nicht, weil sie krüppelig über drei verschiedene Menüs, die alle irgendwie dasselbe tun, einzustellen sind, etc....

Den Entschluss zum Wechsel habe ich für mich gefasst als es von den Entwicklern hieß:
"Hmmm, jaaaa, IBAN-Unterstützung ? Machen wir nicht. Passt doch bitte alle die xxxx.php an !". Ich mein halloho - gesetzliche Pflicht, nahezu kein Umstellaufwand, und dann sowas

Und da in der Community Edition eh derselbe Code verwendet wird......wenn ich mir ansehe dass die 3.000 € dafür haben wollen als Prof. Edition und dann so mit IBAN rumpiensen...muss ned sein, echt ned ^^

PS: Plugin wurde gekauft, damit ihr auch weiterhin so eine tolle Software entwickeln könnt