Hi,

»» Nimm diese phpinfo-Seiten bitte schnell wieder vom Netz. Sie verraten sehr viel über die Einstellungen und Interna deines Servers, und stoßen Hacker möglicherweise mit der Nase auf Zugriffsmöglichkeiten, von denen du nicht einmal geträumt hast.
Das halte ich, ehrlich gesagt, für Blödsinn!

ich nicht, denn in diesen Info-Seiten sind sämtliche Einstellungen aufgelistet, sowie die genauen Dateipfade etlicher Konfigurationsdateien. Sollte die Konfiguration also sicherheitstechnisch ungünstige Details aufweisen, werden die hier gnadenlos offengelegt. Das meinte ich mit "mit der Nase drauf stoßen", auch wenn die Angreifer etwa eine bestimmte Version eines Moduls oder Kombinationen von Modulen als angreifbar kennen.

Das heißt nicht, dass dieselbe Konfiguration ohne Veröffentlichung dieser Details sicherer wäre; security by obscurity war noch nie auf Dauer wirksam. Aber -um mal wieder einen hinkenden Vergleich zu bemühen- wenn ich weiß, dass das Schloss an der Beifahrertür meines Autos kaputt ist und nicht richtig schließt, dann werde ich mir nicht auch noch einen Zettel mit der Aufschrift "HIER OFFEN" ins Fenster hängen.

Viele Provider stellen ihre phpinfo() sogar öffentlich ins Netz, damit man als interessierter/potentieller Kunde weiß worauf man sich einlässt.

Ja. Dann sind aber viele Dateipfade anonymisiert, oder der Hoster weiß sicher, dass seine Festung "dicht" ist. Normalerweise sollte das überall der Fall sein, aber du weißt ja, Theorie und Praxis ...

In der Regel ist PHP auch nicht so schwach konfiguriert, dass man nur durch phpinfo() eine Angriffsfläche finden kann.

Nicht direkt. Aber wenn ich eine detaillierte technische Beschreibung der Alarmanlage habe, sind meine Chancen, unerkannt in ein Gebäude zu kommen, ungleich größer.

Ciao,
 Martin