Hallo Dreadnaught,

Ein Kumpel von mir hat einen Account bei 1&1. Wir haben ein kleines Script (PHP) zum Surfen
auf dem Webserver (à là Windows Explorer) gemacht. Hierbei ist uns aufgefallen das man bis
in den Document Root des Apaches kommt. Es lassen sich alle Dateien auslesen / herunterladen.

Das ist kein Bug. Es ist eben so. Das kann man nicht (so einfach) ändern. Das ist kein
triviales Problem. Shared Hosting bedeutet immer, dass man Probleme mit den Zugriffsrechten
hat. Der Apache läuft ja nur mit einem User und muss alle Dateien von allen Virtual Hosts
lesen können. 1&1 hätte zwar open_basedir setzen können, aber für Perl oder Ruby z. B. gibt
es eine solche Möglichkeit nicht.

Eine mögliche Absicherung wären Jails. Pro Kunde ein Jail. Das bedeutet, pro Kunde eine Kopie
des Basis-Systems sowie eine IP. Also nicht sonderlich praktikabel für viele Kunden... und
das perchild-MPM von Apache funktioniert noch nicht.

Löschen hat nicht funktioniert.

In dem Fall ist doch alles in Ordnung.

Also viel Spass mit dem Bug, möge 1&1 merken das sie mal was ändern sollten...

Dann erzähle uns doch mal, wie du es lösen würdest.

Grüße,
 CK