Andreas Korthaus: Haltet eure PHP-Software aktuell!

Beitrag lesen

Hallo!

Installiere dir entsprechende Schriften :)

Da hilft wohl nur ein "recherchiere diese bitte im </archiv/>" ;-)

Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr
einfach Dateien von einem auf den anderen Server zu übertragen.

Und es wäre schwerer, wenn man eine eigene Funktionsgruppe dazu einführt?
Ne, sorry, aber das will mir nicht einleuchten, das halte ich für groben
Unfug.

Naja, zumindest bei include() halte ich es auch für groben Unfung. Wozu sollte man PHP-Scripte über das Web einbinden wollen? Und wenn man das schon will dann soll man doch bitte sowas wie eval(file_get_contents()) verwenden, das sieht wenigstens auch der Ober-DAU dass man das nicht unbedingt immer so machen sollte. Leider funktioniert das AFAIK nicht 1:1...

Allerdings sieht es so aus, als würde die HTTP-Extension doch nicht aufgenommen ("keine neuen spezialisierten Extensions...").

Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur
(normalerweise installierten) Modul-Version aufweist.

Die Unterschiede sind doch wohl marginal.

Aber vorhanden.

Was die großen Hoster aber wohl nicht stört.

Ich finde den Gedanken gut dass User nicht Daten anderer User
manipulieren können,

Das geht bei uns auch nicht :) open_basedir ist pro vhost gesetzt.

Hilft aber nicht gegen eine Perl-Shell *g*

Und seit wann vertraust Du auf open_basedir? OK, Risikominimierung, naja.

Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff,
könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO
sollte eine gute Konfiguration sowas vermeiden!

Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht vermeidbar.
Nicht wgen der Technik, sondern wegen der User. “Geht nicht? Access
denied? Arg! *chmod 777*”.

Ja, aber das Problem gibt es auch nur wegen mod_php, weil alle unter einem User laufen. Bei suexec kannst Du strengere Rechte setzen, evtl. auch eine hübsche umask ;-)

Bei suexec kannst Du folgende Rechte verwenden:

HTML, Bilder, CSS...: 640
Verzeichnisse: 710
Perl-Skripte: 700
PHP-Skripte/Includes: 600

Bei mod_php geht das schlicht und ergreifend nicht. Bei suexec habe ich es wenigstens selber in der Hand meine Passwort-Datei mit entsprechend restriktiven Rechten zu versehen!

Auf Passwort-Dateien braucht der Apache bei suexec keinen Zugriff. Warum
auch? Man greift ja mit Benutzer-Rechten zu.

Stimmt.

Viele Grüße
Andreas

PS: bei der Fehlermeldung "generalverweis gepostet" vergisst er irgendwie Themenbereich und Thema in der Vorschau einzufügen

--
SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
9 90

Haltet eure PHP-Software aktuell!

Christian Kruse
  • webserver
  1. 0
    Senti
    1. 0
      TomIRL
      1. 0
        Christian Kruse
        1. 0

          Sarkasmus

          Zeromancer
          • meinung
          1. 0
            TomIRL
            1. 0
              at
        2. 1
          TomIRL
          1. 3
            Christian Kruse
            1. 0
              TomIRL
              1. 0
                Christian Kruse
                1. 0
                  Senti
            2. 0
              Andreas Korthaus
              1. 3
                Christian Kruse
                1. 2
                  Andreas Korthaus
                  1. 0
                    Benjamin Wilfing
                  2. 0
                    Christian Kruse
                    1. 0
                      Andreas Korthaus
                      1. 0
                        Christian Kruse
                        1. 0

                          Vektorwitze?

                          Der Martin
                          • menschelei
                          1. 0
                            Christian Kruse
                            1. 0
                              Der Martin
                              1. 0
                                Christian Kruse
                                1. 0
                                  MudGuard
                                  1. 0
                                    Christian Kruse
                                2. 0
                                  Der Martin
                      2. 0
                        Christian Kruse
                        1. 0
                          Andreas Korthaus
                2. -1
                  wahsaga
                  1. 0
                    Christian Kruse
                    1. 0
                      wahsaga
                      1. 1
                        Christian Kruse
              2. 0
                Andreas Korthaus
          2. -3
            Bio
  2. 0
    Andreas Korthaus
    1. 0
      Christian Kruse
      1. 0
        Klaus
        1. 0
          Christian Kruse
        2. 0
          TomIRL
          1. 0
            Fabienne
            1. 0
              Christian Kruse
      2. 0
        Andreas Korthaus
        1. 0
          Christian Kruse
        2. 0
          Christian Kruse
          1. 0
            Andreas Korthaus
            1. 0
              Christian Kruse
      3. -5
        Ludger
        1. 0
          Daniela Koller
          1. 0
            Ludger
            1. 0
              Daniela Koller
              1. -2
                Ludger
                1. 0
                  Mathias Bigge
            2. 0
              molily
              1. 0
                Ludger
              2. 0
                at
            3. 0
              Orlando
              1. 0
                Ludger
                1. 0

                  Ehrenamtliche Arbeit - Open Source und Selbstorganisation

                  Orlando
                  • menschelei
                2. 0
                  Mathias Bigge
                  1. 0
                    Ludger
                    1. 0
                      Swen Wacker
                      1. 0
                        Ludger
                        1. 0
                          Swen Wacker
                          1. 0
                            Ludger
                            1. 0
                              Orlando
                              1. 0
                                Ludger
                              2. 0
                                Swen Wacker
                                1. 0
                                  Orlando
                          2. 0
                            at
                            1. 0
                              Swen Wacker
                              1. 0
                                MudGuard
                              2. 0
                                at
                                1. 0
                                  Swen Wacker
                                  1. 0
                                    at
                                    1. 0
                                      Swen Wacker
        2. 3
          Swen Wacker
        3. 1
          Thomas J.S.
          1. 0
            Ludger
          2. 0
            Andreas Lindig
            1. 0
              Ludger
              1. 3
                Siramon
                1. -3
                  Ludger
                  1. 1
                    Anonymous
                  2. 0
                    Siramon
                    1. 0
                      Ludger
                      1. 0
                        Siramon
                        1. 0
                          Ludger
                          1. 0
                            Siramon
  3. 1
    dedlfix
  4. 0
    Manuel B.