[linux-l] Jeden Tag neuer PHP-Ärger
Bodo Eichstädt
retsam at gmx.de
Fr Nov 11 14:46:45 CET 2005
Olaf Radicke schrieb:
> Hi!
>
> Fast jeden Tag Meldungen wie diese zum Thema PHP...
> http://www.heise.de/security/news/meldung/66053
>
Bitte höre auf, hier mit Halbwissen die Leute vermeintlich
warnen/belehren zu wollen. Stimmungsmache ohne Alternative kann keiner
gebrauchen.
Denn das Versagen diverser Software-Pakete bezieht sich (fast) immer auf
die (da gebe ich Dir recht) lausige Standard-Konfiguration. Der
Interpreter kann aber sehr wohl dazu gezwungen werden "gefährlich"
Aktionen (öffnen von URL-Files per fopen, ...) zu verhindern und/oder
Filezugriffe auf einen "sicheren" Verzeichnisbaum zu beschränken.
Weiterhin gibt es chroots, vserver uvwm.
Security _kann_ nicht beim Interpreter aufhören, sonder muss sich auch
auf die Applikation und das Betriebssystem erstrecken. Sprich: der
Gesamtkontext.
> ...Als Admin, der gezwungen ist PHP zu installieren, muss das ja die Hölle
> sein.
>
Nicht wenn man weiss wie. Der geneigte Admin wird per in der Doku & per
Google Hinweise finden. Stichworte:
- Hardened PHP
- open_basedir
- safe_mode
- upload_tmp_dir
- upload_max_filesize
- post_max_size
- magic_quotes_gpc
- enable_dl
- magic_quotes_runtime
- session.cookie_path
etc.
Oder anders:
Als Laie sollte man von so ziemlich allem die Finger lassen. ;-)
Bodo
Mehr Informationen über die Mailingliste linux-l