Emule na server

Jan Houstek Jan.Houstek na mff.cuni.cz
Úterý Listopad 15 15:48:01 CET 2005


MaReK Olšavský wrote:
> Pokud je rozumne nastaveno,

to je u php skoro oxymoron

> jsou rizika mod_php a nejake PgSQL docela minimalizovana

he he

 > idealne by to melo bezet v chrootu,

irelevantní -- buď mi jde o ta data (či databázi) a do té ten webserver 
musí vidět, nebo chci shell a na to mi typicky stačí nějaký /tmp, zcela 
jedno kde chrootovaný

> patricne nastavit prava

taky skoro irelevantní -- po rootem to (naštěstí) typicky neběží, nějaký 
writable adresář se najde vždycky a přihlašovací údaje do databáze v 
souborech, které webserver umí číst, taky

> Bohuzel neni prave ke cti php wwwyvojaru, ze valna 
> cast tech, co pisi, kaslou na bezpecnost, takze jejich aplikace umoznuji 
> script a sql injecting a dalsi nekalosti :-(... Vychazim ted z toho, ze 
> se jedna o webserver...

chyby v programu, nerozumná konfigurace php (často vynucená aplikací), 
chyby v samotném php -- můžete zkoušet ohodnotit z kolika procent tyto 
věci podílejí na problému, ale když budu chtít dráždit nějaký server a 
bude mě php zajímat o řád víc než nějaký malý jednoúčelový sdíleč souborů

> Nedejboze, aby se v tomto pripade jednalo o server, ktery zabezpecuje 
> firme postu, firewall, ... Zase na druhou stranu, pokud je to domacnost, 
> ktera ma jen par pocitacu a jen roszdileji internet, asi netreba zdvihat 
> varovny prst. Ve firme bych (si) toto nedovolil ni za zlate prase.

Kdyby php vývojáři přepsali ty své hrůzy tak, aby nevyžadovali 
register_globals, magic quotes, volali SQL zásadně přes šablony s 
parametry, tak bych jim na server nainstaloval p2p programů klidně deset.

-- Honza Houštěk



Další informace o konferenci Linux