phpbar.de logo

Mailinglisten-Archive

[php] OT ct Artikel Unsichere Webhoster

[php] OT ct Artikel Unsichere Webhoster

Joerg Behrens php_(at)_phpcenter.de
Wed, 3 Jul 2002 16:57:42 +0200


----- Original Message -----
From: "André Frimberger" <andre_(at)_frimberger.de>
To: <php_(at)_phpcenter.de>
Sent: Wednesday, July 03, 2002 4:13 PM
Subject: RE: [php] OT ct Artikel Unsichere Webhoster


> > -----Original Message-----
> > From: php-admin_(at)_phpcenter.de [mailto:php-admin_(at)_phpcenter.de]
> > On Behalf Of Joerg Behrens
> > Sent: Wednesday, July 03, 2002 3:53 PM
> > To: php_(at)_phpcenter.de
> > Subject: Re: [php] OT ct Artikel Unsichere Webhoster
[..]
> > Auch bei safe_mode ist ein Fileupload moeglich. Aber mit dem
> > Tenor hast du Recht. Es gibt PHP eigene Funktionen die den
> > Safe_mode nicht beachten somit zugriff auf UserID fremde
> > Dateien ermoeglichen.
> >
> > > Ebenso wurde vergessen darauf hinzuweissen, dass auch mit
> > mod_php eine
> > relativ
> > > sichere Installation möglich ist. Die Direktive heisst
> > open_basedir.
> > > Damit kann man den Benutzer in sein homedir bannen und auch die
> > > vermeintlichen Sicherheitslücken (/etc/passwd) umgehen.
> >
> > Nunja. Solange funktionen wie exec(),system() dann nicht
> > Disabled sind ist open_basedir nichts Wert da ein
> > exec('/bin/cat /etc/passwd', $result,
> > $error) immer noch zum Ziel fuehrt.

> sehe ich das richtig, dass das problem foglendes ist:
> jeder hat sein eigenes Homeverzeichnis, auf der nur er
> zugreifen kann...
> da aber der apache und somit auch php auf alle home
> directorys zugreifen kann, steht das system offen, wie
> ein scheunentor ?

Resultierend aus dem Problem das Module des Apaches 1.x nur unter EINEM
User/Group laufen koennen und zudem das der Webserver halt die HTML Dateien
und Verz. lesen muss, sowie der Umstand das auf einem Unix System viele
Dateien fuer Alle lesbar sind kann man schon sagen das ganze ist eine sehr
offene Geschichte.

Dies ist aber nix neues und auch kein reines PHP Problem. Ein PHP Problems
wird wenn PHP Mittel verspricht die Versprechen dem entgegen zuwirken diese
dann aber halbherzig/falsch umgesetzt sind.

Meiner Meinung muesste der Webserver hier geeignette Mittel und Wege bereit
stellen solchen Wildwuchs zubegegnen. Der Apache2 sieht das ja wohl vor.

Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Straße 20            Fax: +49 931 903-3025


php::bar PHP Wiki   -   Listenarchive