[linux-l] Jeden Tag neuer PHP-Ärger

Bodo Eichstädt retsam at gmx.de
Fr Nov 11 14:46:45 CET 2005


Olaf Radicke schrieb:
> Hi!
>
> Fast jeden Tag Meldungen wie diese zum Thema PHP...
> http://www.heise.de/security/news/meldung/66053
>   
Bitte höre auf, hier mit Halbwissen die Leute vermeintlich 
warnen/belehren zu wollen. Stimmungsmache ohne Alternative kann keiner 
gebrauchen.

Denn das Versagen diverser Software-Pakete bezieht sich (fast) immer auf 
die (da gebe ich Dir recht) lausige Standard-Konfiguration. Der 
Interpreter kann aber sehr wohl dazu gezwungen werden "gefährlich" 
Aktionen (öffnen von URL-Files per fopen, ...) zu verhindern und/oder 
Filezugriffe auf einen "sicheren" Verzeichnisbaum zu beschränken. 
Weiterhin gibt es chroots, vserver uvwm.
Security _kann_ nicht beim Interpreter aufhören, sonder muss sich auch 
auf die Applikation und das Betriebssystem erstrecken. Sprich: der 
Gesamtkontext.
> ...Als Admin, der gezwungen ist PHP zu installieren, muss das ja die Hölle 
> sein.
>   
Nicht wenn man weiss wie. Der geneigte Admin wird per in der Doku & per 
Google Hinweise finden. Stichworte:
- Hardened PHP
- open_basedir
- safe_mode
- upload_tmp_dir
- upload_max_filesize
- post_max_size
- magic_quotes_gpc
- enable_dl
- magic_quotes_runtime
- session.cookie_path
 etc.

Oder anders:
Als Laie sollte man von so ziemlich allem die Finger lassen. ;-)

Bodo






Mehr Informationen über die Mailingliste linux-l