Hello,

Mit 5.3.8 auf Xampp sieht es genauso aus. Benutzer von PHP-Modul können sich jetzt gegenseitig ihre Sessions kaputtschreiben und natürlich auch auslesen, wenn sie den Session-Key wissen. Dazu muss man ja nur eine Session auf den vorhandenen Key starten.
Das ist eine Entwicklung in Richtung UNSICHER!

Das Argument gilt im Prinzip auch für die Abschaffung des Safe Mode. Und trotzdem gab es gute Gründe, ihn zu schleifen.

Das sehe ich nicht so, da der Safe-Mode viele zusätzliche Probleme und zuviele Regeln mit sich gebnracht hat, die man nicht so schnell durchschauen konnte.

Die Abschaltung aller Systemfunktionen in "system_off_mode" fände ich immer noch genauso gut, wie die strikte Einhaltung von open_basedir, auch für Sessions und Uploads (temporäre Files). Diese klar abgegrenzten Regeln aufzuweichen, ist einfach hirnverbrannt.

Wer die Modulvariante verwendet, braucht eigentlich auch gar keine Sicherheit.

Na das ist jetz mal eine Aussage, die mich hoffen lässt, dass Du gelegentlich auch nur aus dem Bauch heraus denkst und nicht mit dem Kopf und Andre eine Chance haben, Dir zu beweisen, dass das falsch ist...

Wenn FTP-Server genauso gebaut wären, wie Du das hier für die PHP-Modul-Version propagierst, dann könnte das Internet schon lange einpacken. Das soll nicht heißen, dass ich FTP als Protokoll akzepitere, denn das ist nicht verschlüsselt.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg