Moin!

ich bastle gerade einen Filemanager und bin gerade bei dem Thema sicherheit. Ich habe rein gemacht dass der Admin ein Verzeichnis angeben kann aus dem man nicht heraus kann mit dem Filemanager.

Ich überprüfe wie viel Slashes das Verzeichnis hat in das der User will und wie viel Slashes das Verzeichnis hat aus dem der User nicht raus kann! Und wenn in dem Verzeichnis in dass der User will weniger Slashes sind als in dem aus dem er nicht heraus können soll dann geht nix mehr.

Warum so kompliziert? Wenn du ein Verzeichnis festlegen willst, in dem man sich bewegen darf, dann prüfe entweder, ob der Beginn des gewünschten Verzeichnisses identisch ist mit dem erlaubten Verzeichnis, oder verbinde einfach dieses konfigurierte Verzeichnis mit dem, was der Benutzer will.

Deine Slash-Idee ist umgehbar:

Drei Slashes erlaubt:
/mein/sicheres/verzeichnis -> darf sein
/etc/httpd/httpd.conf -> darf nicht sein, hat aber gleichviel Slashes.

Erwins suexec-Einfall ist nicht wirklich zielführend, IMHO.

- Sven Rautenberg