/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Et spørgsmål om rettigheder
Fra : Thomas L.


Dato : 11-07-02 18:49

Jeg kører PHP sammen med Xitami på en Linux maskine. Det betyder at jeg er
tvunget til at afvikle PHP via CGI interfacet.

MEN!

Jeg kan dags dato afvikle PHP scripts ligegyldigt hvor de ligger henne. Er
det ikke en potentiel sikkerhedsrisiko? Burde jeg sætte den så PHP kun kan
afvikles fra cgi-bin (via php.ini?)? Og gør jeg det, betyder det så at HTML
dokumenter med selv en lillebitte smule PHP i skal ligge i cgi-bin?

Forslag til opsætning af dette vil blive særdeles værdsat.

Mvh
Thomas Løcke




 
 
Janus Høi (11-07-2002)
Kommentar
Fra : Janus Høi


Dato : 11-07-02 20:41


"Thomas L." <thomas@kenshi.dk> skrev i en meddelelse
news:3d2dc524$0$12687$edfadb0f@dspool01.news.tele.dk...

> Jeg kan dags dato afvikle PHP scripts ligegyldigt hvor de ligger henne. Er
> det ikke en potentiel sikkerhedsrisiko? Burde jeg sætte den så PHP kun kan
> afvikles fra cgi-bin (via php.ini?)

Det er jo serverside, så der er ingen direkte adgang til dine php-scripts.
Alt hvad man ser er den html-konverterede kildekode.
Så jeg kan ikke se der skulle være problemer i forhold til almindelige
html-sider.

> Og gør jeg det, betyder det så at HTML
> dokumenter med selv en lillebitte smule PHP i skal ligge i cgi-bin?

Så snart der er den mindste smule php i dokumentet skal det jo behandles af
serveren for at blive til noget.

Det vil groft sagt sige, der findes ingen html-sider med en lille smule php.
Det vil i så fald være en php-side med en hel masse html.

Kan du se idéen?
--
Janus Høi
Hysterisk Cindy-fanside:
http://hjerteknuser.dk





Thomas L. (11-07-2002)
Kommentar
Fra : Thomas L.


Dato : 11-07-02 20:47

"Janus Høi" <hoi***@jagi.com> skrev i en meddelelse
news:3d2ddf58$0$16781$edfadb0f@dspool01.news.tele.dk...
> Det er jo serverside, så der er ingen direkte adgang til dine php-scripts.
> Alt hvad man ser er den html-konverterede kildekode.
> Så jeg kan ikke se der skulle være problemer i forhold til almindelige
> html-sider.

Ja, men hva' nu hvis jeg har "fremmede" som uploader en php sag til deres
bibliotek, og denne sag så er skadelig for min maskine? Det kunne jeg vel
forhindre ved kun at tillade afvikling fra cgi-bin, hvor kun jeg har adgang?

> Så snart der er den mindste smule php i dokumentet skal det jo behandles
af
> serveren for at blive til noget.
> Det vil groft sagt sige, der findes ingen html-sider med en lille smule
php.
> Det vil i så fald være en php-side med en hel masse html.
> Kan du se idéen?

Hehe, ja.. Jeg ser ideen. Tak for forklaringen..



Thomas



Janus Høi (11-07-2002)
Kommentar
Fra : Janus Høi


Dato : 11-07-02 21:02

"Thomas L." <thomas@kenshi.dk> skrev i en meddelelse
news:3d2de0a3$0$12673$edfadb0f@dspool01.news.tele.dk...

> Ja, men hva' nu hvis jeg har "fremmede" som uploader en php sag til deres
> bibliotek, og denne sag så er skadelig for min maskine? Det kunne jeg vel
> forhindre ved kun at tillade afvikling fra cgi-bin, hvor kun jeg har
adgang?

Okay, når du kører webhotel hvor folk selv kan uploade, bliver det straks
mere avanceret.

Der er mange webhoteller der har en mængde restriktioner for brug af
forskellige cgi-scripts, så det tyder på at der er fare for skader. Men der
er også mange af dem der samtidig ingen restriktioner har på php, så jeg
ved faktisk ikke om der er problemer med php.

Måske de ved noget om det i gruppen news:dk.edb.internet.udbydere.webhotel.
Jeg tror det nu ikke, det lader mest til at være en forbrugergruppe. Men det
skader da ikke at spørge der også.
--
Janus Høi
Hysterisk Cindy-fanside:
http://hjerteknuser.dk



Andreas Kleist Svend~ (11-07-2002)
Kommentar
Fra : Andreas Kleist Svend~


Dato : 11-07-02 22:03

Thomas L. wrote:

> Ja, men hva' nu hvis jeg har "fremmede" som uploader en php sag til deres
> bibliotek, og denne sag så er skadelig for min maskine? Det kunne jeg vel
> forhindre ved kun at tillade afvikling fra cgi-bin, hvor kun jeg har
> adgang?

Generelt kan jeg ikke lide at man bruger cgi-bin, jeg ville i stedet vælge
kun at tillade PHP i de biblioteker hvor du normalt ville lægge dine
PHP-filer, formodentlig roden, og eventuelt nogle underbiblioteker, og så
nægte adgang til underbiblioteker, med undtagelse af dem du selv bruger.

--
mvh Andreas Kleist Svendsen

Søren Lund Jensen (13-07-2002)
Kommentar
Fra : Søren Lund Jensen


Dato : 13-07-02 07:35

"Thomas L." <thomas@kenshi.dk> wrote in message
news:3d2dc524$0$12687$edfadb0f@dspool01.news.tele.dk...
> Jeg kører PHP sammen med Xitami på en Linux maskine. Det betyder at jeg er
> tvunget til at afvikle PHP via CGI interfacet.
>
> MEN!
>
> Jeg kan dags dato afvikle PHP scripts ligegyldigt hvor de ligger henne. Er
> det ikke en potentiel sikkerhedsrisiko? Burde jeg sætte den så PHP kun kan
> afvikles fra cgi-bin (via php.ini?)? Og gør jeg det, betyder det så at
HTML
> dokumenter med selv en lillebitte smule PHP i skal ligge i cgi-bin?

PHP kan sættes op til at begrænse adgangen på maskinen. Jeg har selv fundet
to måder at gøre det på:

1) Ved at enable safe_mode

2) Ved at sætte et base_dir

Du kan læse meget mere om det på www.php.net (under security og safe mode).
Begge dele sikrer effektivt at brugerne ikke kan rode rundt. Dog giver safe
mode en del hovedpine, da man her kontrollerer userid'er, hvilket kan
resultere i en temmelig underlig situation for dine brugere.



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408952
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste