[linux-l] Jeden Tag neuer PHP-Ärger
Oliver Bandel
oliver at first.in-berlin.de
Fr Nov 11 15:54:08 CET 2005
On Fri, Nov 11, 2005 at 02:46:45PM +0100, Bodo Eichstdt wrote:
> Olaf Radicke schrieb:
> >Hi!
> >
> >Fast jeden Tag Meldungen wie diese zum Thema PHP...
> >http://www.heise.de/security/news/meldung/66053
> >
> Bitte höre auf, hier mit Halbwissen die Leute vermeintlich
> warnen/belehren zu wollen. Stimmungsmache ohne Alternative kann keiner
> gebrauchen.
Die Alternative kommt dann ja vielleicht noch nach,
wenn die Stimmungsmache gut genug war. ;-)
Wenn alles bleibt wie es ist, weil keiner sich drüber aufregt,
dann wird auch kaum Interesse an der Entwicklung von Alternativen
aufkommen...
>
> Denn das Versagen diverser Software-Pakete bezieht sich (fast) immer auf
> die (da gebe ich Dir recht) lausige Standard-Konfiguration. Der
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Naja... also dann sollte - mindestens - dies mal geändert werden.
> Interpreter kann aber sehr wohl dazu gezwungen werden "gefährlich"
> Aktionen (öffnen von URL-Files per fopen, ...) zu verhindern und/oder
> Filezugriffe auf einen "sicheren" Verzeichnisbaum zu beschränken.
Naja, es gab da letztens auch probleme mit dem Überschreiben
von globalen variablen usw. was eindeutig ein Bug war.
> Weiterhin gibt es chroots, vserver uvwm.
Das sind natürlich zusätzliche Möglichkeiten, aber
eigentlich Umwege/Notlösungen.
Klar sollte erst mal sein: man entwickelt saubere Lösungen,
die von sich aus keinen Mist erlauben.
Klar, Fehler können immer wieder mal auftreten. Aber wenn
ein System/eine Sprache diese auch nicht einzudämmen hilft,
dann wäre da mal ne Überlegung sinnvoll, was zu ändern.
> Security _kann_ nicht beim Interpreter aufhören,
Sollte da aber wenigstens anfangen.
Danach sieht's bei PHP aber nicht aus...
> sonder muss sich auch
> auf die Applikation und das Betriebssystem erstrecken. Sprich: der
> Gesamtkontext.
Klar. Aber auf diesen zu pochen und dann doch schrott einzusetzen bedeutet,
den Gesamtkontext eben doch zu vernachlässigen.
> >...Als Admin, der gezwungen ist PHP zu installieren, muss das ja die Hölle
> >sein.
> >
> Nicht wenn man weiss wie. Der geneigte Admin wird per in der Doku & per
> Google Hinweise finden. Stichworte:
> - Hardened PHP
> - open_basedir
> - safe_mode
> - upload_tmp_dir
> - upload_max_filesize
> - post_max_size
> - magic_quotes_gpc
> - enable_dl
> - magic_quotes_runtime
> - session.cookie_path
> etc.
>
> Oder anders:
> Als Laie sollte man von so ziemlich allem die Finger lassen. ;-)
Nein.
Dann gäbe es jetzt Linux nicht in der Verbreitung.
Besser so: Die, die da "ich bin ja kein Laie mehr" zu sein meinen,
die sollten ihre SW-Pakete so gestalten, daß diese auch für Laien
sicher und gut einsetzbar sind, also z.B. die von Dir oben angeführten
Themen (Google-Hinweise) bereits von vornherein mit in der Distri
so integriert sind, daß man den Aufwand nicht dafür benutzen sollte,
das System dicht/sicher zu kriegen, sondern daß es von vornherein
sicher läuft und man für das "mehr erlauben" den Administrations-
Aufwand betreiben müsste.
Ich denke aber, daß die Entwickler da zu lax sind - ein grundsätzliches Problem.
Gruß,
Oliver
Mehr Informationen über die Mailingliste linux-l