Mailinglisten-Archive |
> -----Original Message----- > From: php-admin_(at)_phpcenter.de [mailto:php-admin_(at)_phpcenter.de] > On Behalf Of Joerg Behrens > Sent: Wednesday, July 03, 2002 3:53 PM > To: php_(at)_phpcenter.de > Subject: Re: [php] OT ct Artikel Unsichere Webhoster > > > ---- Original Message ----- > From: "Daniel Lorch" <daniel_(at)_lorch.cc> > To: <php_(at)_phpcenter.de> > Sent: Wednesday, July 03, 2002 4:57 PM > Subject: Re: [php] OT ct Artikel Unsichere Webhoster > > > > hi, > > > > > Den Artikel in der CT halte ich einfach für schlecht > recher- chiert, > > > da auf o.g. Punkte nicht oder nur kaum verwiesen wird. > > > > Er war absolut enttäuschend. Es wurde auch nicht erklärt, weshalb > > viele > Hoster > > dazu tendieren den safe_mode ausgeschalten zu lassen. Es > liegt daran, > > dass dieser oft mehr Probleme macht, als er Nutzen bringt. Viele > > Scripte wollen nicht funktionieren (sprich: File-Uploads) und die > > Anzahl Nutzer, die über diese Sicherheitslücke bescheid wissen ist > > marginal. Es lassen sich auch keine Shell-Programme ausführen. > > Auch bei safe_mode ist ein Fileupload moeglich. Aber mit dem > Tenor hast du Recht. Es gibt PHP eigene Funktionen die den > Safe_mode nicht beachten somit zugriff auf UserID fremde > Dateien ermoeglichen. > > > Ebenso wurde vergessen darauf hinzuweissen, dass auch mit > mod_php eine > relativ > > sichere Installation möglich ist. Die Direktive heisst > open_basedir. > > Damit kann man den Benutzer in sein homedir bannen und auch die > > vermeintlichen Sicherheitslücken (/etc/passwd) umgehen. > > Nunja. Solange funktionen wie exec(),system() dann nicht > Disabled sind ist open_basedir nichts Wert da ein > exec('/bin/cat /etc/passwd', $result, > $error) immer noch zum Ziel fuehrt. sehe ich das richtig, dass das problem foglendes ist: jeder hat sein eigenes Homeverzeichnis, auf der nur er zugreifen kann... da aber der apache und somit auch php auf alle home directorys zugreifen kann, steht das system offen, wie ein scheunentor ? > > > Weiterhin waren die Alternativen kaum erwähnt. Grosse Anbieter wie > > Puretec > und > > Lycos Europe setzen auf PHP im CGI-mode (transparent gewrappt). > > Offenbar scheint das auch bei vielen Domains und vielen Hits > > performancemässig > machbar > > zu sein. Weshalb denn nicht? PERL wurde schon immer über CGI > > ausgeführt > und > > niemand beklagte sich darüber. naja, dann gibts aber beispielsweise kein php_auth mehr... > > JA, wie mans nun richtig macht oder zumind. die anderen > haette einen nun interessiert. Aber nein... > > > BUHUUU c't!! Schwache Leistung. > Zumind. Verbesserungswuerdig Mfg André
php::bar PHP Wiki - Listenarchive