[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2002 ml@sikurezza.org Soggetto: Re: Programmazione web sicura Mittente: St0rM Data: 5 May 2002 18:02:17 -0000
> > >Attivando il safe mode, altri utenti non possono LEGGERE file con UID > > >diverso > > >Mi devi una birra ;-) > > > > No. > > Fai una pagina PHP che legge files leggibili dall'utente nobody, cioe' le > > pagine PHP degli altri utenti... > SI > se attivi il safe mode php verifica l'OWNER del file prima di fare una open > INDIPENDENTEMENTE dai permessi Unix (o se preferisci 'in aggiunta ai'). > Inoltre usare nobody per il web server (e magari una decina di altri demoni assortiti e' > poco sicuro. Crea un utenta apache (gruppo apache) apposta Precisamente la cosa da fare e' mettere una regola in ftpaccess (se usi wu-ftpd, altrimenti non so) che faccia si che i file uploadati abbiano owner UID-utente:apache e permessi 640. A quel punto intanto apache puo' solo leggere, e i file sono di prorpieta' dell'utente. Cosi', tutte le loro pagine PHP potranno solo leggere i loro altri file. Come dicevo, voglio la mia birra ;-) ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005