[php] OT ct Artikel Unsichere Webhoster

[André Frimberger]

> hi,
hi :)
>
> > > Nunja. Solange funktionen wie exec(),system() dann nicht Disabled
> > > sind ist open_basedir nichts Wert da ein exec('/bin/cat
> > > /etc/passwd', $result,
> > > $error) immer noch zum Ziel fuehrt.
>
> Das stimmt. Aber man kann dem Kunden leicht beibringen, dass
> er aus Sicherheitsgründen keine Shell-Programme ausführen
> darf. Ich aber zu erklären, dass File Uploads nicht gehen ist
> schwierige ("Wieso denn? Ist doch ein PHP-Feature ..").
kommt auf die Kundengruppe an, die du ansprichst...

>
> > sehe ich das richtig, dass das problem foglendes ist:
> > jeder hat sein eigenes Homeverzeichnis, auf der nur er zugreifen
> > kann... da aber der apache und somit auch php auf alle home
> > directorys zugreifen kann, steht das system offen, wie
> > ein scheunentor ?
>
> Ja. Jedes von PHP ausgeführte Script "erbt" die Rechte des
> Webservers. Da der Webserver in alle Homedirs Lesezugriff
> haben muss, ist das Chaos vorprogrammiert.
bin mir etz ned ganz sicher, aber ich glaube mal gehört zu haben,
dass man für jeden Benutzer einen Apache Instanz starten kann,
die unter dem jeweiligen Benutzer läuft,... (es kann auch sein,
dass ich mir nur gedacht hab, dass das die ideale Lösung wäre)

>
> > naja, dann gibts aber beispielsweise kein php_auth mehr...
>
> Ja, das vermisse ich auch. Und mit dem header() Funktionen
> ist auch nicht mehr alles so trivial möglich.
deswegeb bin ich auch froh, dass mein provider kein php-cgi
benutzt :)


Mfg

André