nicht angemeldet
Moin Moin !
Ok, ich klappe den "mahnenden Zeigefinger" wieder ein. ;-)
- CGI-Resourcen haben im CGI-Verzeichnis nichts verloren, schon gar nicht mit cgi-Extension und wohl möglich auch noch ausführbar. Das öffnet u.U. riesige Sicherheitslücken, wenn jemand die URL dieser Resourcen raten und Eigenheiten der Resourcen nutzen kann.
»»Das ist völlig egal, dazu müsste man 1. das Script kennen und 2. Geht es hierbei nur um die Anzeige und sortierung.
Selbst wenn jemand das Script direkt aufrufen würde, würde er entweder Fehler produzieren oder eben irgendwas bekommen ohne damit was anfangen zu können.
Es geht ja weniger um das Bekommen. Unter ganz widrigen Umständen könnte man ein ausführbares Perl-Fragment im CGI-Verzeichnis dazu bringen, Sachen zu veranstalten, die Du nicht haben möchtest. Ein schönes Beispiel: gzip_cnc vor Version 1.11 hat als netten Nebeneffekt die Quelltexte aller Scripte ausgegeben, wenn man es "richtig falsch" aufgerufen hat (siehe http://www.schroepl.net/projekte/gzip_cnc/security.htm). Damit konnte man dann weitere fehlerhafte Scripte suchen und so nicht nur den gesamten Webserver kopieren, sondern auch noch Daten auf dem Server manipulieren.
Alexander
Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".