TS: unbekannte .htaccess

Beitrag lesen

Hello,

Mit PHP hat das nichts zu tun.

Nur weil Tom paranoid ist, heißt das nicht, dass keiner hinter ihm her ist.

Und wenn man Let's Encrypt misstraut, dann könnten sie diverse böse Dinge anrichten mit den Dateien, die sie einem auf den Server schreiben.

Ich kenne den Ablauf von ACME nicht. Wenn der Ordner, in den let's encrypt schreibt, einer ist, der auch vom Web gelesen werden kann, DANN besteht die Gefahr, dass sie eine spy.php hochladen und laufen lassen, wenn die Script-Ausführung erlaubt ist.

Das würde ich dann aber als einen Designfehler im Let's Encrypt Ablauf ansehen, der bei heise oder CCC schon längst zu Aufregung hätte führen müssen.

Trotzdem stimmte dein Einwand selbstverständlich, dass engine off keine direkte Apache-Einstellung ist, sondern zu PHP gehört.

Apache kennt hier scheinbar nur

Und wenn Apache unter Solaris läuft, kann auch eine getrennte User-Zuweisung für VirtHosts duchgeführt werden.

Glück Auf
Tom vom Berg

--
Es gibt soviel Sonne, nutzen wir sie.
www.Solar-Harz.de
S☼nnige Grüße aus dem Oberharz