Mailinglisten-Archive |
Peter Linzenkirchner schrieb: > Hallo knurd (?), Mein Realname steht auch im From. > Es erleichtert es, ja. Es ist sogar der erste, notwendige Schritt. > Aber wenn jemand eine php-Seite mit dem phpinfo > ()-Befehl auf den Server schmuggeln kann, dann kann er auch eine Datei > drauf schmuggeln, die alles einzeln abfragt, das geht ja schließlich. Du vergisst, das Anwender diese Datei selbst angelegen können oder einige Applikationen diese automatisch mitbringen (die P-Scripte von Powie z.B.). Dort wird eben auch gerne das Argument verwendet, das "dort ja nichts kritisches dabei sei". Das stimmt eben nicht. Alleine das Wissen um Pfade oder installierte Komponenten (oder z.B. die Einstellung von magic_quotes_gpc) kann einem Angreifer eine Menge Zeit sparen. > Das heisst, die Sicherheit ist letztlich nur eine scheinbare, es wird > für den Hacker blos umständlicher. Nochmal: Das ist der _erste_ Schritt um ein System abzusichern, nicht der _einzige_. Jede Hürde bedeutet, das ein anderes, schwächeres System bevorzugt angegriffen wird. Jede Hürde bedeutet auch, das automagische Angriffswerkzeuge weniger in Betracht kommen. Jede Hürde bedeutet auch, das Du deine Sorgfaltspflicht gegenüber deinen Kunden ein Stück mehr nachkommst. > Für die Anwender aber auch - und > hier sehe ich nicht so recht die Verhältnismäßigkeit. Es gibt keinen Grund, warum ein User ständig eine dynamisch generierte phpinfo-Datei für jeden zugänglich halten sollte. Nicht, das er keine bekommen sollte - aber er sollte sie eben nicht für jeden zugänglich machen. Gruß, Christoph
php::bar PHP Wiki - Listenarchive