phpbar.de logo

Mailinglisten-Archive

[php] wozu ist das gut

[php] wozu ist das gut

Matthias Pigulla mp_(at)_webfactory.de
Wed, 16 Jun 1999 20:44:02 +0200


Norbert Pfeiffer wrote:
> Das vorlaeufihge Ergebnis kann man hier sehen:
> http://www.web-as.de/workshop/view/
> 
> Na-ja, fuer Dich ist das sicher nicht umwerfend, jedoch
> der 'kleine' Web-Autor kann damit sehen, was auf seinem
> virtuellen Host alles so rumliegt  ;-)

:-OO

F�r mich als sicherheitsbewu�ten Admin ist das _Horror_. Ich stehe auf
dem Standpunkt, da� jeder User auf so einem System nur das sehen darf,
was er unbedingt ben�tigt.

Und wenn ich mich da nicht t�usche, ist es machbar - geschickte User-
und Gruppeneinteilung vorausgesetzt - den Apache so zu konfigurieren,
da� man wenigstens nicht in /etc oder so reinkommt.

Trotzdem l��t es sich aber wohl nicht verhindern, da� jeder User via PHP
die M�glichkeit hat, auf Dateien zuzugreifen, die auch f�r den Apache
lesbar sind? Mu� ja, solange PHP als Apache-User l�uft. Und dabei sind
dann die Zugriffsrechte zu unterlaufen, die man Apache-seitig
konfiguriert. (Beispielsweise <Files *~>deny from all</Files>).

IMHO ist es dann mit geschickten Scripten m�glich, Dateien wie .htaccess
oder so auszulesen, in denen Pa�w�rter (und wenn auch verschl�sselt)
hinterlegt sein k�nnen?

Gottseidank ist bei Norbert Demo der Datei-Viewer deaktiviert. Ansonsten
h�tte man ja z. b. in der httpd.conf nachschauen k�nnen, ob und wie ein
Pa�wort f�r mod_auth_mysql gesetzt ist? Schrecklich!

Um das hier konkreter zu machen: Gibt es eine M�glichkeit oder ist sie
in Planung, um
 - PHP als Modul zu verwenden
 - gleichzeitg vor der Ausf�hrung ein su durchzuf�hren?

Praktisch so eine Art suEXEc Wrapper f�r PHP als _Modul_ (aus
Performancegr�nden)?

Matthias
-- 
   w e b f a c t o r y | matthias pigulla
 
      am wichelshof 10   fon 0228-9636949
      53111 bonn         fax 0228- 655656
      www.webfactory.de  mp_(at)_webfactory.de


php::bar PHP Wiki   -   Listenarchive