Mailinglisten-Archive |
Hallo Jens Franke, Hallo Liste, > 1. Muss der "Angreifer" selbst Kunde beim Provider sein, wenn man > natürlich anonym ein Account bekommen kann (Freespace Provider) dann > gilt die Aussage "die Tore weit offen" schon. muß er nicht. Es muss nur jemand ein script hochladen und die url öfentlich kundtun. > 3. stehen in der passwd so gut wie nie Passwörter da /etc/shadow > benutzt wird, und selbst wenn, dann sind da nur die hashes; wobei man > sich natürlich die Datei lokal speichern und per Brute Force angehen > kann. aber sensible Dateien der anderen Server sind lesbar. (Kundendaten etc.) > heftig ist natürlich wenn die Dateien auch writeable für other sind auch das ist nach wie vor ein Problem. Man kann jede beliebige Datei verändern > >Unser Provider hat das Problem bis jetzt leider nicht wirklich > > gelöst. leider immernochnichtwirklich > safe_mode z.b. ist nicht immer das gelbe vom Ei, php als cgi auch > nicht joh! > haben auch einen eigenen Server mit 20-30 Domains, keine privat, nur > Business Kunden; lt. ct wohl auch "die Tore weit offen". Wobei die > Kunden teilweise nicht mal ftp Zugang haben, da Design und > Programmierung von der Agentur gemacht wird. Ich glaube kaum, dass da > einer der Kunden sich auf Computer Sabotage einlassen würde. Das Problem besteht ja darin, daß es sich hierbei nicht um irgendein Sabotagetool handelt sondern um ein php-Script zur Verwaltung eines Webservers. Man braucht ja nur eine url um alles machen zu können. Unter Linux vielleicht noch nicht ein so großes Problem, aber unsere Seiten liegen auf einem NT-Sever. Grüße Michael Schorn
php::bar PHP Wiki - Listenarchive