Re: Aruba, hosting windows, PHP e oggetti COM

At 09.55 23/01/2004, you wrote:
> La domanda è questa: esiste un motivo legato a "sicurezza e funzionalità 
> delle macchine" (appunto!) per cui un sistemista dovrebbe disabilitare il 
> suporto gli oggetti COM con PHP 4.3.4 su una macchina Win2000?

sono un modo come un altro per eseguire programmi. Se permetti l'uso di 
altre funzioni che possono eseguire programmi arbitrari, non ha reale 
fondamento impedire l'uso di oggetti COM, a meno che il modulo non abbia 
seri e noti problemi

Ripensandoci, i server COM in-process possono rappresentare un problema, 
perchè non eseguono programmi in un nuovo processo ma nello stesso processo 
del server. E un ambiente a memoria condivisa, come tu ben sai, è Il Male. 
La soluzione ideale, nel solito mondo ideale, sarebbe di far girare il 
server come un determinato utente, negare a quell'utente (o a un ipotetico 
gruppo "Restricted COM" di cui l'utente fa parte) l'accesso alle parti di 
registro relative alle classi COM (HKLM\Software\Classes\Clsid), e attivare 
caso per caso solo le classi strettamente necessarie (nota: il database di 
COM si estende per tutto HKLM\Software\Classes, ma l'unica parte che conta 
è Clsid - le altre sono piuttosto innocue). Dato che, sicuro come che piove 
dall'alto in basso, IIS usa COM a strafottere, prevedo lunghe sessioni 
iniziali di Regmon solo per farlo partire

Se opti per questa strada (i miei complimenti), non disperare, non dovrai 
necessariamente rifare la configurazione da zero in caso di 
upgrade/reinstallazione/migrazione: puoi salvare il tutto come script del 
policy editor e applicarlo automaticamente (anche ad ogni avvio) con 
secedit - tenendo presente che quel tordo dell'engine delle policy salva 
gruppi e utenti dello pseudo-dominio locale come SID, quindi valgono le 
consuete cautele da avere in questi casi 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List