phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] PHP Sicherheit und CERT

Frank Rasche phpml at raschesweb.de
Don Okt 14 18:13:31 CEST 2004

Vorherige Nachricht: [php] PHP Sicherheit und CERT
Nächste Nachricht: [php] regex frisst alle newlines
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Friedhelm,

Friedhelm Betz schrieb am Donnerstag, 14. Oktober 2004 um 17:19:

>> Aus Programmierersicht ist der Artikel natürlich ziemlicher Bullshit.

> Schon und aus Adminsicht? Und was macht Admin mit seinen Studierenden?

Zusammenstauchen? ;)

> Viel Spass;-) Wenn es keine andere Moeglichkeit gibt, bleibt url_fopen
> aus, basta. Also ich haette keine Lust, weblogs zu durchforsten mit dem
> Ziel bescheuerte PHP-Skripts aufzuspueren, User zu identifizieren und
> diese dann hoeflich auf schlechte Skripte hinzuweisen. Dafuer ist mir
> meine Zeit zu schade;-)

Nee, du bist ja auch kein Uni-Admin, oder? ;)
Aber aus pragmatischer Sichtweise eines solchen, ist Logfiles grepen
und dann global url_fopen-wrapper abzuschalten doch ein gangbarer
Weg.

Es wird ja explizit auf einen bestimmten IRCBot hingewiesen, der sich
in die Apache-Crontab eingetragen hat. Das ist zumindest relativ
schnell überprüfbar. Ebenso die Logifle-Analyse nach einer speziellen
IP.

Und bevor ich alle möglichen vorhandenen PHP-Skripte (und die noch kommen mögen)
auf besch... Parameterübergabe oder sonstige Fehler überprüfe, würde
ich es auch eher global abschalten.

> Ausser url_fopen global zu deaktivieren faellt mir aus Adminsicht grad
> nix ein? Euch?

Nee, mir fällt ad hoc auch nichts ein, allerdings ist es bei Unis oft
so:
Es ist umsonst, daher bekommen die User das, was die Admins erlauben,
basta ;)
Und nicht von ungefähr haben wir in unserem Uni-Rechenzentrum
Ausfallzeiten, die sich kein Hoster/Provider auf dem freien Markt
erlauben dürfte... ;)

> Wie regeln das die Massenhoster?

Das ist eine interessante Frage, würde mich auch interessieren.
Ich bin mir nicht sicher, aber liegt die Haftung bei Hostern
da nicht etwas anders. Haftet denn der Hoster für fehlerhafte
Skripte seiner Kunden? Er lässt sich doch sicher die
Kosten für den zusätzlichen Traffic eines Bots zahlen. Kann er denn
haftbar für eine DOS-Attacke gemacht werden?
Zumindest bei den beliebten Rootservern wird mehrfach darauf
hingewiesen, dass man als Kunde selbst für den Schaden verantwortlich
ist...

Gruss
Frank

Vorherige Nachricht: [php] PHP Sicherheit und CERT
Nächste Nachricht: [php] regex frisst alle newlines
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive