phpbar.de logo

Mailinglisten-Archive

Re: [php] wozu ist das gut
Archiv Mailingliste php_(at)_infosoc.uni-koeln.de

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [php] wozu ist das gut



Hallo Matthias,

> Für mich als sicherheitsbewußten Admin ist das _Horror_.
das kann ich irgendwie verstehen und auch wieder nicht.

Doch mal etwas zuerst:
Vermengt doch nicht immer systemspezifische Dinge mit Problemen
eines Webmasters oder anderen beliebigen 'Anwendungs-Usern'.

Der User eines Systems nutzt, was man ihm gibt, fuer seine Zwecke.
Einer bastelt bunte Seiten, ein anderer Datenbanken oder Mathe-Tools.
Prinzipiell ist es dem User voellig egal welches BS in Hintergrund
wirkt, nur 'down' gehen sollte es nicht, wenn er einen Loop fabriziert.

Seine Rechte muss man ihm entweder vorlesen oder ueber die Config so
einrichten, dass er keinen Mist verzapfen kann, versehentlich.
Ich meine jetzt den 'gutartigen' User, nicht den 'Hacker'.
Es ist ja nicht illegal, gegebene Funktionen auch zu benutzen,
solange man nicht die Absicht hat, etwas lahm zu legen.


> Trotzdem läßt es sich aber wohl nicht verhindern, daß jeder User via PHP
> die Möglichkeit hat, auf Dateien zuzugreifen, die auch für den Apache
> lesbar sind? Muß ja, solange PHP als Apache-User läuft.
Soweit kann ich Dir noch folgen...

Wieso jedoch kein Unterschied zwischen dem Apache-Vater und seinem -Kind
einzurichten gehen soll, verstehe ich nicht ganz.
- Was der Apache lesen darf, seine config-files z.B. gehen doch den
  Kindsprozess ueberhaupt nichts an, also den der sie Seiten versendet
  und PHP-Files umsetzt (!?).
- Und was waere, wenn PHP als CGI-Modul laeuft, so wie Perl, da kann oder
  sollte doch auch nicht jeder alles machen duerfen. Z.B. auf meiner
  kleinen Linux-Kiste komme ich auch nicht ueberall hin, wenn ich das
  Script als User oder Apache starte. Also geht es doch  <gruebel>.

Sollte ich das jetzt nicht 'korrekt' ausgedrueckt haben, bitte ich schon
mal um Entschuldigung...  (ich kanns auch noch mal 'nachbessern')


M. f. G. Norbert Pfeiffer
________________________________________________
Dipl. kyb. Norbert Pfeiffer       DTP-PRG-Bureau
Friedensstrasse 26                 D-06237 LEUNA
Fon +49-(0)3461-8132-36  Fax +49-(0)3461-8132-37
mailto:pfeiffer_(at)_uris.de   http://uris.de/bureau/
------------------------------------------------






Home | Main Index | Thread Index

php::bar PHP Wiki   -   Listenarchive