Re: programmazione web "sicura"

Alle 18:08, mercoledì 1 maggio 2002, Piermaria Maraziti ha scritto:
> >directory (in generale, in un dominio virtuale) possano accedere al
> >filesystem al di sopra della directory in cui risiedono, e' sufficiente
> >mettere
> >php_admin_value open_basedir /path/della/directory
> Ni.
> Se ho un virtual host sotto cui ho diversi utenti, ognuno con la sua 
> directory, questa cosa funziona?
Basta che metti una direttiva <Directory> per ogni utente dentro alla 
<VirtualHost>

> Se si' forse ti devo una birra.
YEAH :)

> [BTW: uno script cosi' "chiuso" potrebbe chiamare con exec un file? Se
> si', nella stessa dir della protezione o anche fuori? Se solo la' uploado
> uno script
> #!/bin/bash
> cat $1
> poi lo chiamo da un passthru() con parametro /etc/passwd o 
> ../altroospite/connectdb.php. Se anche altrove la cosa e' ancor piu'
> banale.
Senza la open_basedir, la tua idea funziona e posso stampare sul browser il 
contenuto di /etc/passwd. Con la open_basedir, ottengo

Warning: open_basedir restriction in effect. File is in wrong directory in 
Unknown on line 0
Warning: Failed opening '/var/www/html/prove_php/ti_fotto.php' for 
inclusion (include_path='') in Unknown on line 0

Quindi anche per queste cose funziona - non so come abbiano implementato 
'sta cosa nel PHP.
Se fai hosting, penso che questa sia una soluzione migliore rispetto al 
safe_mode, che mette delle grosse restrizioni all'uso del php.
Un'altra direttiva da prendere in considerazione e' la disable_functions, 
che accetta una lista di nomi di funzioni separati da virgola, e impedisce 
l'uso delle stesse al parser (anche questa puoi usarla nell'httpd.conf).

Ciao
     :ce

-- 
-- Il notiziario dei notiziari
-- http://www.notiziarioweb.it
--
So di non sapere
(Socrate)
Nonostante questo, le prendo lo stesso
(Platone)
   -- it.sport.arti-marziali

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List