Pokaż wyniki 1 do 2 z 2

Temat: tworzenie dynamicznych plików na serwerze niebezpieczne ?

  1. #1
    Zarejestrowany
    Oct 2012
    Postów
    1

    Domyślnie tworzenie dynamicznych plików na serwerze niebezpieczne ?

    Znalazłem tekst jednego z core developerów Wordpressa i pisze on, żeby nie tworzyć żadnych nowych plików na serwerze ponieważ każdy użytkownik serwera będzie miał do nich dostęp. Tutaj jest link Tutorial: Using the WP_Filesystem ť Otto on WordPress. A tutaj rzeczony fragment:
    "Modern UNIX-like systems have the concept of “users”. When I SSH or FTP into my hosting account, then I’m logged in as me and my user account. However, my webserver doesn’t run as my user account. It runs under some different user account, usually “nobody” or “apache” or “web” or something similar to that.

    So when I create files, they’re owned by me. When my webserver creates files, then they’re owned by the webserver’s user, whatever it is. Normally, this isn’t a big deal. The webserver can read and serve files either way, so who cares, right? Well, when you’re creating files that are owned by the webserver, then the webserver has permission to write to those files. It’s the owner of them, after all. What’s important here is that I’m not the only person on this webserver.

    Shared hosting systems have many users files all served by the same webserver. So if I allow that “nobody” user to own files that are part of my webpage, then anybody else can use their account on the same webserver to modify those files, and thus modify my webpage. For the case of CSS files, this poses a cross-site-scripting risk. Somebody else on my shared webserver could insert code into my CSS files and change them so as to steal my account information. Bad mojo."

    Czy to oznacza, że każdy plik tworzony przy użyciu skryptu PHP na koncie może być wykorzystany przez innych użytkowników webservera ? A może coś źle zrozumiałem ?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał zendor Zobacz post
    So when I create files, they’re owned by me. When my webserver creates files, then they’re owned by the webserver’s user, whatever it is.
    Koles nie ma pojecia o czym pisze tak na prawde. To co opisal jest prawda w pewnym konkretnym przypadku ale nie regula (tak jak on to przedstawia). Widac nigdy nie slyszal czyms takim jak suPHP - skrypt PHP uruchamia sie z uprawnieniami uzytkownika ktory jest wlascicielem pliku, jesli wiec skrypt obslugujacy upload plikow nalezy do uzytkownik1 to plki przez niego utworzone tez beda nalezec do uzytkownik1 - wiele wspoldzielonych hostingow z tego co zauwazyem uzywa suPHP wlasnie z tego powodu.

    Wszystko to kwestia konfiguracji serwera w tym wypadku. Problem mozna rozwiazac na wiele sposobow - bardziej i mniej eleganckich.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52