phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] move_uploaded_file und safe_mode

Christoph 'knurd' Jeschke christoph.jeschke at gmail.com
Mit Jun 29 14:31:25 CEST 2005

Vorherige Nachricht: [php] move_uploaded_file und safe_mode
Nächste Nachricht: [php] move_uploaded_file und safe_mode
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Susanne Jäger schrieb:

> Ähmm ... ist es denn möglich remote ein phpinfo() auszuführen? 

Ja. Der Nutzer (nicht der Serveradmin - der soll das dürfen) könnte eine
entsprechende Datei anlegen.

> Ich hielt die Funktion bisher immer für eine optisch aufgemotzte Abfrage
> verschiedener Umgebungs-Variablen.

Korrekt. Interessant ist, was die Umgebungsvariablen beinhalten
(können), z.B. Pfade, Passwörter, Existenz von Software, etc. Das sind
alles sensitive Daten und das Wissen um sie geht einem Angriff im
Normalfall voraus. Natürlich sollte das nicht der einzige Schutz sein!

> Es mag ja Sinn machen, dem Site-Betreiber zu empfehlen eine
> entsprechende Datei nicht unter einem gängigen Namen öffentlich
> zugänglich zu halten - aber providerseitig den Funktionsaufruf unterbinden?

Ein Kompromiß ist, die Seite statisch in einen geschützten Bereich zu
packen  und den Usern zu verbieten (über die php.ini) selbst solch ein
Skript irgendwie und irgendwo zu fabrizieren (oft bringt Software solche
Skripte auch gleich mit). Natürlich verhindert das nicht, das irgendein
Kunde aus Bequemlichkeit dieses Dokument in seinen Verantwortungsbereich
kopiert - gelegentliche, automatisierte Patrouillen gehören also auch dazu.

Damit einher geht natürlich auch, die Anzeige von Fehlermeldungen
konsequent zu unterdrücken (aber sie trotzdem mit der höchsten
Error-Reporting-Stufe zu loggen). Diese können auch Pfade - oder sogar
SQL-Statements - enthalten.

Allgemein sollte natürlich auch gleich vertraglich festgelegt werden,
wie im Falle dieser "Disclosures" vorgegangen wird. Diese betreffen -
gerade in Shared-Hosting-Umgebungen - nämlich nicht nur den Kunden
selbst, sondern unter Umständen auch alle anderen Kunden.

> PS: Oder ist nur mein Ironiedetektor kaputt und du meintest das jetzt
> nicht erst?

Oh doch. Mir ist bewusst, das ich eine extreme Mindermeinung vertrete.
Aber ich bin bis dato damit ohne großen Aufwand sehr gut gefahren -
selbst mit extremen DAUs und - noch schlimmer - Semi-Profis mit
Spielambitionen.

Gruß,
Christoph

Vorherige Nachricht: [php] move_uploaded_file und safe_mode
Nächste Nachricht: [php] move_uploaded_file und safe_mode
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive