Hi,

[...]denn dann kann man mit suxec die PHP-Files allein fuer den Owner lesbar machen, anstelle fuer global.
was ist suxec? Wie muß ich das verstehen?

suexec ist das Apachemodul, das fuer virtuelle Hosts eine Changeroot-Umgebung macht, so dass Skripten ueber die Keunnung asugefuehrt werden,
die mittels
User USERNAME
Group GROUPNAME
in <VirtualHost> definiert sind

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)
Bei mir läuft es als CGI und das erh gut, die einzigen beiden Einschränkungen bis heute waren das die PHP-Authentifiziereung nicht geht, und auch über htaccess keinen Einfluß auf PHP genommen werden kann. Sonst hatte ich dadurch bis heute keien Nachteile, oder was wäre Dir da was eklatantes bekannt?

Da ich PHP nur fuer Spielereien benutze nicht :)
Allerdings geht der angebliche Geschwindigkeitsvorteil von PHP
floeten, weil bei jedem neuen Aufruf das Skript neu geladen und interpretiert wird.
Also so, als ob man CGI ohne FastCGI benutzt.

Du aber auch nicht.
In der Doku von PHP steht genau zu dem Punkt, dass nur PHP ueber CGI in den Faellen bzgl Filesystem-Lesen hilft.
Aber man kann unter Linux doch überall strikte Rechte vergeben, wozu braucht PHP root-Rechte?

Von Root-Rechten hat niemand geredet.

Ganz im Gegenteil ist das Problem da, weil kein vernuenftiger Admin
den Apache als Root laufen laesst.

Die Hauptinstanz des Webservers und dessen Childs laufen unter der
kennung, die man mit USER und GROUP in der httpd.conf definiert.

Der User jedoch, der Webfiles anlegt, hat eine andere Userkennung und eine andere Group.
Da diese meistens nicht kommulieren (d.h. Apacheuser != User der Files
bearbeitet und Webservergroup != usergroup), bleibt dem Webseitenbastler nichts uebrig, als die Webfiles global lesbar zu machen.

So weit so gut.

Und nun ist ein dritter oder x weitere User auf dem Filesystem.

Was kann dieser tun? Richtig - per "cat <filename>" oder "less <filename>" einfach die global lesbare Datei anschauen.

Was nicht weiter schlimm ist, wenn es alles eh nur Gimmicks und oeffentliche Daten sind.
Problematisch nur, wenn in der php-File oder dessen Include irgendwo Datenbankzugaenge stehen.

Das Problem der PHP-Coder ist, dass sie noch immer
von Einzeluser-Systemen ausgehen. Deswegen kennen die einfach nicht das Problem bzw. es gibt keinen Druck da was zu machen.
Hä? PHP wird doch so gut wie nur auf größeren Webservern bei Massenhostern verwendet, und da wird wohl kaum jeder Kunde einen Einzeluser-System haben, oder? Schön wärs...

Eben deswegen hatte der c't-Artikel so eine relevanz.
Dedizierte Server sind nur wenig im Einsatz. Und taugliche Loesungen sind mir nur fuer BSD bekannt.
Das das ganze erst jetzt so langsam auftaucht, leigt auch daran, dass immer mehr Leute einen Shell-Zugang wollen und sich nicht mehr mit einem FTP-Zugang abspeisen lassen wollen (wobei FTP sowieso unsicher ist).

Natuerlich haben die c't-Leute verschwiegen, wie eine -machbare- Loesung fuer eine Low-Budget-Umgebung auszusehen haette....

Eine Loesung liegt darin, mit den Unixgruppen rumzuspielen.
Wobei man leider den leichtesten Weg, naemlich den Apacheuser zusammen mit allen einzelnen usern jeweil sin einer Gruppe zu tun, nicht funktioniert, wenn man mehr als 25 User hat. (Ein User kann nicht in mehr als 25 Gruppen sein).

Die Loesung die ich in Anwendung hab, beruht auf einen Mix aus Solaris-ACLs, gemounteten Bereichen, auf die nur spezielle User Zugriff haben,  einer allgemeinen Webmaster-Gruppe und (und das geht aber nur bei Unis oder Vereinen:) restriktive Benutzungsregeln in Bezug auf einen eigens zu beantragenden 'Webmaster-Zugang'.

Ciao,
  Wolfgang

Hi,

Habe ich das behauptet? Und wo steht, daß das überhaupt eine Frage für Sven ist? Er hatte lediglich gefragt, was man dagegen tun kann, daß einzelne Leute per PHP (!) fremde Dateien auslesen. Und genau dagegen ist mit safe_mode & Co. ein Kraut gewachsen.

Stimmt. Wobei man aber deswegen dies andere erwaehnen muss, um die Leute nicht in falscher Sicherheit zu wiegen.
Er schrieb naemlich selbst in der letzten Zeile implizit, dass er CHMOD ausfuehren kann.
Folglich gibt es wohl ein Shell-Zugang.
Und wenn es ein Shell-Zugang gibt, gibt es mehrere und die beschriebene Problematik ist vorhanden.

Warum hab ich das Gefuehl, dass jegliche Sicherheitsprobleme oder
negative Facetten von PHP unterm Tisch gekehrt werden?

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)

Klasse, dann muß man für jeden Seitenaufruf den PHP-Interpreter starten..

Eben.

Und wenn ich das recht überblicke, sollte man CGI-Sachen doch nur in ein bestimmtes Verzeichnis packen, oder irre ich mich da? In der Modulversion kann man die Seiten wenigstens dahin legen, wo man sie gerne haben möchte.

Da irrst du dich halb.

Man kann den Webserver so einstellen, dass alle Files mit den Dateinamen *.php auf den Interpreter redirected werden. (Steht doch auch so in der Doku!)

Das Problem der Leute, auf die in der c't eingegangen wurde, war wohl hauptsächlich, daß sie die PHP-Anleitung nicht gelesen haben..

In der Doku von PHP steht genau zu dem Punkt, dass nur PHP ueber CGI in den Faellen bzgl Filesystem-Lesen hilft.

Siehe oben, diese Aussage ist hier momentan vollkommen unnötig.

Aussagen zur Sicherheit eines verwendeten Systems oder eine Applikation sind NIEMALS unnoetig.
(Es sei denn, mann arbeitet fuer Microsoft :) )

Ciao,
  Wolfgang

Hallo!

Es ging hier (zumindest momentan) nicht darum, daß er Benutzer hat, die per telnet-Zugang direkt auf den Rechner können oder per CGI eigene Programme starten.

Das habe ich auch schonmal gehört, das man mit Telnet htaccess umgehen können soll, aber wie soll das bitte gehen? Ich habe auf meinem Server keinen Telnet-Zugang, an Port23 ist nix los. Wie soll man dann mit Telnet drauf zugreifen? Wenn man das könnte, ist eh alles verloren! Außerdem braucht man doch auch für Telnet Zugangsdaten, OK, wahrscheinlcih könnte man die da das unverschlüselt abläuft mitlesen, aber ist das das große Problem das htaccess nicht 100%ig sicher ist? Mit FTP besteht dann dasselbe Problem. Ich weiß, das gehört nicht direkt in diesen Thread, aber interessiert mich trotzdem, warum sind htaccess geschützte Dateien unsicherer als Dateien außerhalb des Document-root? Wenn der Server wie bei mir nur http, https, ssh, smtp und pop3 erlaubt, wo soll da eine Lücke sein die .htaccess unsicherer macht?

Das einzige hilfreiche ist, das PHP als CGI laufen zu lassen, denn dann kann man mit suxec die PHP-Files allein fuer den Owner lesbar machen, anstelle fuer global.

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)

Klasse, dann muß man für jeden Seitenaufruf den PHP-Interpreter starten..

Also von folgendem Provider weiß ich das PHP als CGI Läuft, und da dauern Requests an dynamische Seiten zu über 99% unter 0,8 Sekunden und durschnittlich 0,17 Sekunden. Statische Seiten sind zwar geringfügig schneller, dürfte man aber kaum merken. Die Probleme liegen meist woanders. Guck Dir dagegen mal die Werte von anderen providern an, die von CT im Test genannt wurden und daher PHP als Modul laufen lassen!
http://monitor.ig4internetuser.de/view.php3?aktion=month&month=07&year=2002&provider=domainfactory

Und wenn ich das recht überblicke, sollte man CGI-Sachen doch nur in ein bestimmtes Verzeichnis packen, oder irre ich mich da? In der Modulversion kann man die Seiten wenigstens dahin legen, wo man sie gerne haben möchte.

Nein. Das Merkst Du gar nicht. Sowohl PERL als auch PHP - Scripte können überall ausgeführt werden, wie gesagt, die einzigen mir bis jetzt untergekommenen Nachteile sind PHP auth. und htaccess Zugriff auf die php.ini.

Viele Grüße
Andreas