> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also via HTTP ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother mit Shell bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe.

> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also via HTTP ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother mit Shell bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe. Ehrlich gesagt wird es mir aber immer obskurer. Das sind doch Fragen, die mit dem Webserver-Kontext gar nix mehr zu tun haben. In einem Multiuser-System muss ich mich immer um Rechte kümmern, das muss sauber konfiguriert sein. Die Fragestellung hat man auch, selbst wenn es überhaupt keinen Webserver auf dem System gibt.

> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also via HTTP ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother mit Shell bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe. Aaaah, erneut EDIT: Du meinst die Konstellation, dass durch den Upload erst die passenden Rechte auf dem Script liegen, damit es seinen dreckigen Job erledigen kann? Okay, da kann ich folgen. Oder auch nicht. Wenn der Gangster Brother mit User "gangster" unterwegs ist und Dateien von "www-data" anfummeln will, dann braucht ER die passenden Rechte, die Rechte des bösen Scripts sind da inwiefern relevant? Ehrlich gesagt wird es mir aber immer obskurer. Das sind doch Fragen, die mit dem Webserver-Kontext gar nix mehr zu tun haben. In einem Multiuser-System muss ich mich immer um Rechte kümmern, das muss sauber konfiguriert sein. Die Fragestellung hat man auch, selbst wenn es überhaupt keinen Webserver auf dem System gibt.

> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also via HTTP ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother mit Shell bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe. Aaaah, erneut EDIT: Du meinst die Konstellation, dass durch den Upload erst die passenden Rechte auf dem Script liegen, damit es seinen dreckigen Job erledigen kann? Okay, da kann ich folgen. Oder auch nicht. Wenn der Gangster Brother mit User "gangster" unterwegs ist und Dateien von "www-data" anfummeln will, dann braucht er die passenden Rechte. Ehrlich gesagt wird es mir aber immer obskurer. Das sind doch Fragen, die mit dem Webserver-Kontext gar nix mehr zu tun haben. In einem Multiuser-System muss ich mich immer um Rechte kümmern, das muss sauber konfiguriert sein. Die Fragestellung hat man auch, selbst wenn es überhaupt keinen Webserver auf dem System gibt.

> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also via HTTP ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother mit Shell bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe. Aaaah, erneut EDIT: Du meinst die Konstellation, dass durch den Upload erst die passenden Rechte auf dem Script liegen, damit es seinen dreckigen Job erledigen kann? Okay, da kann ich folgen. Ehrlich gesagt wird es mir aber immer obskurer. Das sind doch Fragen, die mit dem Webserver-Kontext gar nix mehr zu tun haben. In einem Multiuser-System muss ich mich immer um Rechte kümmern, das muss sauber konfiguriert sein. Die Fragestellung hat man auch, selbst wenn es überhaupt keinen Webserver auf dem System gibt.

> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe. Aaaah, erneut EDIT: Du meinst die Konstellation, dass durch den Upload erst die passenden Rechte auf dem Script liegen, damit es seinen dreckigen Job erledigen kann? Okay, da kann ich folgen. Ehrlich gesagt wird es mir aber immer obskurer. Das sind doch Fragen, die mit dem Webserver-Kontext gar nix mehr zu tun haben. In einem Multiuser-System muss ich mich immer um Rechte kümmern, das muss sauber konfiguriert sein. Die Fragestellung hat man auch, selbst wenn es überhaupt keinen Webserver auf dem System gibt.

> Für den Fall nochmal: > > **„Ein anderer tut es für mich.“** Gut, auch da "meine ich zu verstehen". Szenario wäre dann wie? Du böser Bube lädst also ein böses Script irgendwohin. Dann sagst Du Deinem Gangster-Brother bescheid: "ey, führ mal /var/www/public/boese.php" aus, korrekt? Aber wenn Dein Gangster-Brother das kann, wofür braucht der Deinen Upload? Ist mir zu hoch und ich freue mich auf Aufklärung, was ich da übersehe / falsch verstehe.