Emule na server
Jan Houstek
Jan.Houstek na mff.cuni.cz
Úterý Listopad 15 15:48:01 CET 2005
MaReK Olšavský wrote:
> Pokud je rozumne nastaveno,
to je u php skoro oxymoron
> jsou rizika mod_php a nejake PgSQL docela minimalizovana
he he
> idealne by to melo bezet v chrootu,
irelevantní -- buď mi jde o ta data (či databázi) a do té ten webserver
musí vidět, nebo chci shell a na to mi typicky stačí nějaký /tmp, zcela
jedno kde chrootovaný
> patricne nastavit prava
taky skoro irelevantní -- po rootem to (naštěstí) typicky neběží, nějaký
writable adresář se najde vždycky a přihlašovací údaje do databáze v
souborech, které webserver umí číst, taky
> Bohuzel neni prave ke cti php wwwyvojaru, ze valna
> cast tech, co pisi, kaslou na bezpecnost, takze jejich aplikace umoznuji
> script a sql injecting a dalsi nekalosti :-(... Vychazim ted z toho, ze
> se jedna o webserver...
chyby v programu, nerozumná konfigurace php (často vynucená aplikací),
chyby v samotném php -- můžete zkoušet ohodnotit z kolika procent tyto
věci podílejí na problému, ale když budu chtít dráždit nějaký server a
bude mě php zajímat o řád víc než nějaký malý jednoúčelový sdíleč souborů
> Nedejboze, aby se v tomto pripade jednalo o server, ktery zabezpecuje
> firme postu, firewall, ... Zase na druhou stranu, pokud je to domacnost,
> ktera ma jen par pocitacu a jen roszdileji internet, asi netreba zdvihat
> varovny prst. Ve firme bych (si) toto nedovolil ni za zlate prase.
Kdyby php vývojáři přepsali ty své hrůzy tak, aby nevyžadovali
register_globals, magic quotes, volali SQL zásadně přes šablony s
parametry, tak bych jim na server nainstaloval p2p programů klidně deset.
-- Honza Houštěk
Další informace o konferenci Linux