Hallo Leute,
ich wende mich an diejenigen, die aufgrund der Dis-
kussionen in diesem Forum bzw. durch die Ankündigung über die News des Self-Portals mein Skript "gzip_cnc"
zur Komprimierung statischer Webseiten installert haben.
Es hat leider sich herausgestellt, daß es möglich ist,
auf einer Site, welche gzip_cnc verwendet, Sicherheits-
konzepte des Webservers zu unterlaufen.
Bis zum Schließen der entsprechenden Lücke (wobei ich
im Moment noch nicht weiß, wie ich diese am sinnvoll-
sten schließen kann) empfehle ich daher dringend,
####################################
### gzip_cnc nicht zu verwenden. ###
####################################
Das mindeste, was gzip_cnc braucht, um unter vertret-
baren Umständen eingesetzt zu werden, ist eine zusätz-
liche Möglichkeit zur Unterscheidung zwischen "lega-
len" und "illegalen" Zugriffen.
Ob es dafür eine rein technische Möglichkeit gibt,
oder ob das Problem durch eine zusätzliche Konfigu-
ration innerhalb von gzip_cnc gelöst werden muß (das
wäre machbar, würde aber vom Anwender entsprechende
Kenntnisse über den Server verlangen und fehleran-
fällig sein), weiß ich im Moment selbst nicht.
Das Problem liegt nicht an einem Programmierfehler,
sondern es geht um das gesamte Konzept von gzip_cnc
und Apache - daher ist beispielsweise Christians Por-
tierung nach C (gzip_cncc) von diesem Effekt genauso
betroffen, und vermutlich auch andere Programme, die
nach demselben Prinzip arbeiten (das muß gar nichts
mit Komprimierung zu tun haben ...).
Traurige Grüße
Michael