Mailinglisten-Archive |
Norbert Pfeiffer wrote:
> Das vorlaeufihge Ergebnis kann man hier sehen:
> http://www.web-as.de/workshop/view/
>
> Na-ja, fuer Dich ist das sicher nicht umwerfend, jedoch
> der 'kleine' Web-Autor kann damit sehen, was auf seinem
> virtuellen Host alles so rumliegt ;-)
:-OO
F�r mich als sicherheitsbewu�ten Admin ist das _Horror_. Ich stehe auf
dem Standpunkt, da� jeder User auf so einem System nur das sehen darf,
was er unbedingt ben�tigt.
Und wenn ich mich da nicht t�usche, ist es machbar - geschickte User-
und Gruppeneinteilung vorausgesetzt - den Apache so zu konfigurieren,
da� man wenigstens nicht in /etc oder so reinkommt.
Trotzdem l��t es sich aber wohl nicht verhindern, da� jeder User via PHP
die M�glichkeit hat, auf Dateien zuzugreifen, die auch f�r den Apache
lesbar sind? Mu� ja, solange PHP als Apache-User l�uft. Und dabei sind
dann die Zugriffsrechte zu unterlaufen, die man Apache-seitig
konfiguriert. (Beispielsweise <Files *~>deny from all</Files>).
IMHO ist es dann mit geschickten Scripten m�glich, Dateien wie .htaccess
oder so auszulesen, in denen Pa�w�rter (und wenn auch verschl�sselt)
hinterlegt sein k�nnen?
Gottseidank ist bei Norbert Demo der Datei-Viewer deaktiviert. Ansonsten
h�tte man ja z. b. in der httpd.conf nachschauen k�nnen, ob und wie ein
Pa�wort f�r mod_auth_mysql gesetzt ist? Schrecklich!
Um das hier konkreter zu machen: Gibt es eine M�glichkeit oder ist sie
in Planung, um
- PHP als Modul zu verwenden
- gleichzeitg vor der Ausf�hrung ein su durchzuf�hren?
Praktisch so eine Art suEXEc Wrapper f�r PHP als _Modul_ (aus
Performancegr�nden)?
Matthias
--
w e b f a c t o r y | matthias pigulla
am wichelshof 10 fon 0228-9636949
53111 bonn fax 0228- 655656
www.webfactory.de mp_(at)_webfactory.de
php::bar PHP Wiki - Listenarchive