[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2002 ml@sikurezza.org Soggetto: Re: programmazione web "sicura" Mittente: Cesare D'Amico Data: 1 May 2002 15:43:17 -0000
Alle 00:15, marted́ 30 aprile 2002, Piermaria Maraziti ha scritto:
> Non mi pare sicuro.
> Se altri utenti possono mettere script PHP (ad esempio) sulla stessa
> macchina possono andarsi a leggere (con i permessi di nobody o
> dell'utente sotto cui gira httpd) anche gli altri script e trovare quel
> programma ed eseguirlo.
> Se l'accesso alla macchina e' condiviso (nel senso di utenti che
> gestiscono ognuno una sua applicazione PHP) non c'e' verso, e'
> intrinsecamente insicuro.
Mmm, non so la situazione del server. Ma per evitare che gli script in una
directory (in generale, in un dominio virtuale) possano accedere al
filesystem al di sopra della directory in cui risiedono, e' sufficiente
mettere
php_admin_value open_basedir /path/della/directory
in una direttiva <VirtualHost> o <Directory>, e gli script php in
/path/della/directory non potranno accedere a nessun file che stia al di
sopra di quella dir. In questo modo si eliminano cose del tipo
include("/etc/passwd");
et similia.
Ciao
:ce
--
-- Il notiziario dei notiziari
-- http://www.notiziarioweb.it
--
Tutto quello che sai potrebbe essere sbagliato.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005