Tach!

Löschen, wenn der Bedarf befriedigt wurde, sich die Daten anzuzeigen.

Und was ist vorher? Da ist die phpinfo für jeden sichtbar, der gerade in dem Moment vorbeischaut?

Vorher ist sie gar nicht da, solange niemand eine entsprechende Datei anlegt.

Ich vermute, es ist hier so, dass der Dienstleister von jeannie61 eine solche Datei angelegt hat und sie sie nun entdeckt hat.

Für mich stellt sich das so dar: Entweder die phpinfo ist unbedenklich; dann braucht sie keinen Schutz. Oder die phpinfo sollte niemals für Unbefugte sichtbar sein; dann braucht sich auch in dem Moment einen Schutz (zumindest Basic Authentication).

Die Ausgabe der Funktion selbst ist sicherlich ungefährlich, aber sie offenbart eine Menge Informationen, die man ja nicht unbedingt auf dem Präsentierteller anbieten muss, beispielsweise Pfadangaben und welche Extensions in welchen Versionen vorhanden sind. Daraus lassen sich durchaus mögliche Angriffe leichter planen.

Ist die Datei nicht vorhanden, schließt das keine Lücken, aber man hat es nun schwerer, diese zu finden, und fällt damit vielleicht eher auf, wenn man alles durchprobieren muss.

Wenn sie geschützt ist, muss sie auch nicht gelöscht werden, wenn der Bedarf befriedigt wurde.

Man braucht sie üblicherweise nicht ständig, und eine Datei mit dem Funktionsaufruf drin ist bei Bedarf sehr schnell angelegt. Deswegen kann sie ganz weg, und man muss nicht noch extra dafür sorgen, einen funktionierenden Schutz davorzubauen.

dedlfix.