phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] OT ct Artikel Unsichere Webhoster

Joerg Behrens php_(at)_phpcenter.de
Wed, 3 Jul 2002 15:52:33 +0200

Previous message: [php] OT ct Artikel Unsichere Webhoster
Next message: [php] OT ct Artikel Unsichere Webhoster
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

---- Original Message -----
From: "Daniel Lorch" <daniel_(at)_lorch.cc>
To: <php_(at)_phpcenter.de>
Sent: Wednesday, July 03, 2002 4:57 PM
Subject: Re: [php] OT ct Artikel Unsichere Webhoster


> hi,
>
> > Den Artikel in der CT halte ich einfach für schlecht recher-
> > chiert, da auf o.g. Punkte nicht oder nur kaum verwiesen
> > wird.
>
> Er war absolut enttäuschend. Es wurde auch nicht erklärt, weshalb viele
Hoster
> dazu tendieren den safe_mode ausgeschalten zu lassen. Es liegt daran, dass
> dieser oft mehr Probleme macht, als er Nutzen bringt. Viele Scripte wollen
> nicht funktionieren (sprich: File-Uploads) und die Anzahl Nutzer, die über
> diese Sicherheitslücke bescheid wissen ist marginal. Es lassen sich auch
> keine Shell-Programme ausführen.

Auch bei safe_mode ist ein Fileupload moeglich. Aber mit dem Tenor hast du
Recht. Es gibt PHP eigene Funktionen die den Safe_mode nicht beachten somit
zugriff auf UserID fremde Dateien ermoeglichen.

> Ebenso wurde vergessen darauf hinzuweissen, dass auch mit mod_php eine
relativ
> sichere Installation möglich ist. Die Direktive heisst open_basedir. Damit
> kann man den Benutzer in sein homedir bannen und auch die vermeintlichen
> Sicherheitslücken (/etc/passwd) umgehen.

Nunja. Solange funktionen wie exec(),system() dann nicht Disabled sind ist
open_basedir nichts Wert da ein exec('/bin/cat /etc/passwd', $result,
$error) immer noch zum Ziel fuehrt.

> Weiterhin waren die Alternativen kaum erwähnt. Grosse Anbieter wie Puretec
und
> Lycos Europe setzen auf PHP im CGI-mode (transparent gewrappt). Offenbar
> scheint das auch bei vielen Domains und vielen Hits performancemässig
machbar
> zu sein. Weshalb denn nicht? PERL wurde schon immer über CGI ausgeführt
und
> niemand beklagte sich darüber.

JA, wie mans nun richtig macht oder zumind. die anderen haette einen nun
interessiert. Aber nein...

> BUHUUU c't!! Schwache Leistung.
Zumind. Verbesserungswuerdig

Gruss
Joerg Behrens
--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Straße 20            Fax: +49 931 903-3025

Previous message: [php] OT ct Artikel Unsichere Webhoster
Next message: [php] OT ct Artikel Unsichere Webhoster
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive