Warnung: phpinfo(), aber auch ältere Version von meinem Ersatz kann Passwörter offenbaren
Raketenwilli
- php
- sicherheit
0 Der Martin0 Raketenwilli0 Der Martin0 T-Rex
Sowohl die PHP-eigene Funktion phpinfo() als auch ältere Versionen meines phpinfo()-Replacements haben höchst gefährliche Schwächen:
Wer Zugangskennungen (Benutzername, Passwort für ODBC-Datenbankverbindungen oder MySQLi in der PHP.ini, .user.ini (oder in einem Skript mit ini_set()
) gesetzt hat sollte wissen, dass diese Daten ggf. öffentlich angezeigt werden und Angreifern womöglich ein „Türchen von der Größe eines ganzen Sonnensystems“ offen steht.
Gleiches gilt für die Anzeige von $_SERVER['AUTH_USER']
und $_SERVER['AUTH_PASSWORD']
. Hier werden (meine Version: wurden) die Daten einer HTTP-Authentifizierung angezeigt. Das geschieht zwar nur bei berechtigten Benutzern, kann aber von Dritten womöglich gesehen oder aufgenommen werden.
Meine aktuelle Version des Replacements zeigt diese Daten nicht mehr an. Da ich in einem anderen Forum schon gesehen habe, dass mein Skript benutzt wurde, bitte ich darum, eventuell selbst gehostete Versionen einem Update zu unterziehen.
Generell ist es aber die beste Idee, diese und solche Skripte (genauer die Ausgaben bei deren Ausführung) nicht öffentlich abrufbar zu machen. Über die Notwendigkeit, https zu benutzen muss man ja nichts mehr schreiben- oder?
Hallo,
Sowohl die PHP-eigene Funktion phpinfo() als auch ältere Versionen meines phpinfo()-Replacements haben höchst gefährliche Schwächen:
[...]
danke für diese durchaus wichtige Info. Allerdings ...
**Generell ist es aber die beste Idee, diese und solche Skripte (genauer die Ausgaben bei deren Ausführung) nicht öffentlich abrufbar zu machen.
Genau das. Sowas wie phpinfo() oder die Ausgabe bestimmter Informationen aus $_SERVER[] und Konsorten hat auf einem Produktivsystem eigentlich nichts zu suchen. Das hat ausschließlich auf dem Entwicklungssystem seine Berechtigung.
Einen schönen Tag noch
Martin
Das hat ausschließlich auf dem Entwicklungssystem seine Berechtigung.
Fürwahr! Aber bei manchen ist Produktiv- und Entwicklungssystem eben identisch. Und andere benutzen sowas um auf dem Produktivsystem nachzusehen, was da wohl anders ist als auf dem Entwicklungssystem…
n'Abend,
Das hat ausschließlich auf dem Entwicklungssystem seine Berechtigung.
Fürwahr! Aber bei manchen ist Produktiv- und Entwicklungssystem eben identisch.
und das, obwohl das Einrichten einer lokalen Testumgebung, je nachdem, was sie können soll, nun wirklich kein Hexenwerk ist.[1]
Aber selbst wenn man den Aufwand scheut: Dann kann man immer noch auf dem Produktivserver die Testversion in einem separaten Verzeichnis mit beschränktem Zugriff betreiben. Oder meinetwegen auch unter einer Subdomain.
Und andere benutzen sowas um auf dem Produktivsystem nachzusehen, was da wohl anders ist als auf dem Entwicklungssystem…
Das ist ja okay, solange man diese Spione nicht permanent und für jeden erreichbar bestehen lässt.
Einen schönen Tag noch
Martin
Mist, irgendjemand hat das Wiki total umgekrempelt, ich finde nix wieder! ↩︎