Mailinglisten-Archive |
Christoph 'knurd' Jeschke wrote: >> Es erleichtert es, ja. > > Es ist sogar der erste, notwendige Schritt. notwendig? >> Das heisst, die Sicherheit ist letztlich nur eine scheinbare, es wird >> für den Hacker blos umständlicher. > > Nochmal: > Das ist der _erste_ Schritt um ein System abzusichern, nicht der _einzige_. nicht abzusichern, zu verschleiern! > Jede Hürde bedeutet, das ein anderes, schwächeres System bevorzugt > angegriffen wird. Jede Hürde bedeutet auch, das automagische > Angriffswerkzeuge weniger in Betracht kommen. gerade automatische Angriffswerkzeuge wird das wenig interessieren, die probieren einfach alles durch. > Jede Hürde bedeutet auch, > das Du deine Sorgfaltspflicht gegenüber deinen Kunden ein Stück mehr > nachkommst. Jede Hürde bedeutet auch das man es dem Kunden schwerer macht, Sicherheit kommt nie umsonst - sie kostet fast immer Komfort oder Bequemlichkeit - man sollte hier sehr überlegen wie sehr man seine Benutzer beschränken will >> Für die Anwender aber auch - und >> hier sehe ich nicht so recht die Verhältnismäßigkeit. > > Es gibt keinen Grund, warum ein User ständig eine dynamisch generierte > phpinfo-Datei für jeden zugänglich halten sollte. Nicht, das er keine > bekommen sollte - aber er sollte sie eben nicht für jeden zugänglich machen. mhm, eine Alternative, wenn es denn diese gibt! -- Sebastian Mendel www.sebastianmendel.de www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive