![]() Mailinglisten-Archive |
Norbert Pfeiffer wrote: > Das vorlaeufihge Ergebnis kann man hier sehen: > http://www.web-as.de/workshop/view/ > > Na-ja, fuer Dich ist das sicher nicht umwerfend, jedoch > der 'kleine' Web-Autor kann damit sehen, was auf seinem > virtuellen Host alles so rumliegt ;-) :-OO F�r mich als sicherheitsbewu�ten Admin ist das _Horror_. Ich stehe auf dem Standpunkt, da� jeder User auf so einem System nur das sehen darf, was er unbedingt ben�tigt. Und wenn ich mich da nicht t�usche, ist es machbar - geschickte User- und Gruppeneinteilung vorausgesetzt - den Apache so zu konfigurieren, da� man wenigstens nicht in /etc oder so reinkommt. Trotzdem l��t es sich aber wohl nicht verhindern, da� jeder User via PHP die M�glichkeit hat, auf Dateien zuzugreifen, die auch f�r den Apache lesbar sind? Mu� ja, solange PHP als Apache-User l�uft. Und dabei sind dann die Zugriffsrechte zu unterlaufen, die man Apache-seitig konfiguriert. (Beispielsweise <Files *~>deny from all</Files>). IMHO ist es dann mit geschickten Scripten m�glich, Dateien wie .htaccess oder so auszulesen, in denen Pa�w�rter (und wenn auch verschl�sselt) hinterlegt sein k�nnen? Gottseidank ist bei Norbert Demo der Datei-Viewer deaktiviert. Ansonsten h�tte man ja z. b. in der httpd.conf nachschauen k�nnen, ob und wie ein Pa�wort f�r mod_auth_mysql gesetzt ist? Schrecklich! Um das hier konkreter zu machen: Gibt es eine M�glichkeit oder ist sie in Planung, um - PHP als Modul zu verwenden - gleichzeitg vor der Ausf�hrung ein su durchzuf�hren? Praktisch so eine Art suEXEc Wrapper f�r PHP als _Modul_ (aus Performancegr�nden)? Matthias -- w e b f a c t o r y | matthias pigulla am wichelshof 10 fon 0228-9636949 53111 bonn fax 0228- 655656 www.webfactory.de mp_(at)_webfactory.de
php::bar PHP Wiki - Listenarchive