Access denied by security policy

CMSimple bis 3.4 (keine weitere Entwicklung)
Post Reply
cpt.oneeye
Posts: 2
Joined: Sat 17. Jan 2015, 22:08

Access denied by security policy

Post by cpt.oneeye » Mon 19. Jan 2015, 20:28

Hello,

i am maintaining a site which has been developed in CMSimple 3.1.. I am able to login to the site and change several News-Entries and Pages.

But when i want to change the HTML-Code of the main Template under "Settings --> Vorlage Edit" i get an error. Click on "Sichern" leads to following error:
Access denied by security policy
Your request is blocked by a security policy rule.
Please contact the support team, and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Is this caused by the server-installation itself? Or is it possible to change some settings within the CMSimple User Interface? I currently don't have access to the PHP-Server directly.

Replies can be in german or english.

Thank you very much in advance!

Klaus

Gert
Posts: 1125
Joined: Sun 18. Nov 2012, 14:18

Re: Access denied by security policy

Post by Gert » Tue 20. Jan 2015, 10:40

Hallo Klaus,

dafür ist mit ziemlicher Sicherheit ein Server Modul namens mod_security verantwortlich. Vermutlich können Serverbetreiber dieses Modul konfigurieren von "jetzt könnte man es auch gleich löschen" (also sehr moderat) bis hin zu "Jetzt kann ich php auch gleich noch löschen" (also so, dass kaum noch was funktioniert) ;)

Irgendwas in Deiner template.htm empfindet mod_security als "gefährlichen Angriff" (zumindest als Programmcode) und verweigert das abspeichern. Dabei kannst Du noch froh sein, wenn Dir (Deiner IP) hinterher nicht gleich komplett der Zugang zum Server gesperrt wird (incl. ftp), beim ersten mal für ein paar Stunden, beim zweiten mal für einen ganzen Tag usw., das habe ich tatsächlich auf einigen Servern erlebt. Teilweise musste ich warten, bis ich dank dynamischer IP eine neue IP hatte.

Die zunehmende Verbreitung von mod_security und bestimmten Standardkonfigurationen war auch der Grund dafür, dass ich vor einiger Zeit alle html-Tags aus den Sprachdateien von CMSimple entfernen musste, weil ein einfaches "><" bereits als Angriff gewertet wurde :roll:

==========================================================

Aber mal ehrlich: Wenn die online-Bearbeitung der template.htm nicht "Gewohnheitsrecht" aus alten Zeiten wäre, würde ich das sofort abschaffen. Denn mit php-Fehlern kann ich CMSimple komplett abschiessen, und zwar so, dass ich die Seite ohne ftp Zugang nicht wieder zum laufen bekomme. Aber die Abschaffung dieser Funktion würde wohl einen Aufschrei zur Folge haben.

Trotzdem: Arbeiten an der template.htm mittels CMSimple ist gefährlich.

==========================================================

Zum Schluss noch der Hinweis, dass CMSimple 3.1 beim nächsten Serverupdate auch ganz den Dienst verweigern könnte, hat halt schon ein paar Jahre auf dem Buckel und wohl auch noch ein paar Sicherheitslücken,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services

cpt.oneeye
Posts: 2
Joined: Sat 17. Jan 2015, 22:08

Re: Access denied by security policy

Post by cpt.oneeye » Wed 21. Jan 2015, 20:45

Hallo Gert,

vielen Dank für die schnelle Antwort. Dann kann ich mal das in Bezug auf mod_security weitergeben. Ich hoffe dass ich nun die Zugangsdaten zum Server bekomme und dort eventuell Einstellungen vornehmen kann.

Dieses Template ist aber sonst direkt auf dem Server als Datei abgespeichert oder? Dass heisst ich könnte die Datei runterladen, ändern und neu raufspielen ohne das gleich nichts mehr geht? Ich darf natürlich keinen Blödsinn reinschreiben ;) , aber es geht nur um einige kleine HTML-Anpassungen.

Gruss
Klaus

Gert
Posts: 1125
Joined: Sun 18. Nov 2012, 14:18

Re: Access denied by security policy

Post by Gert » Thu 22. Jan 2015, 17:50

Hallo,

das beste ist, eine Webserver Simulation auf dem PC zu installieren, ich empfehle und nutze Xampp. Da kannst Du dann alles downloaden, vorab testen und dann erst hochladen. Alternativ kannst Du ein Spiegelbild der Installation in einem Unterverzeichnis des Webservers betreiben und eben z. B. Template Änderungen vorab dort testen.

Es ist doch immer peinlich, wenn Spielereien auf der "scharfen" Seite schiefgehen,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services

Post Reply