Re: чтение чужих файлов.

Igor Sysoev igor на sysoev.ru
Пт Ноя 25 09:25:34 UTC 2011


On Fri, Nov 25, 2011 at 10:58:32AM +0400, Dmitry E. Oboukhov wrote:
> > Собственно, уже не в первых раз, вижу
> > что как-то, через nginx читают файлы
> > других пользователей (php файлы, etc), чмод
> > которых >=644. Как именно, пока не знаю.
> > Тут
> > хттпs://damagelab.org/index.php?showtopic=22153&view=findpost&p=126003
> > багу продают за 700$
> 
> > Интересны варианты решения. Вариант
> > расставлять всем чмод в принудительном
> > порядке не очень устраивает. Какие
> > будут варианты? Судя по всему, нужно
> > ковырять исходник.
> 
> > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,218970,218970#msg-218970
> 
> Скорее всего симлинки.
> 
> У апача ЕМНИП есть опция (не )?ходить по симлинкам.
> Возможно надо такую же в nginx?

http://httpd.apache.org/docs/2.2/mod/core.html#options

FollowSymLinks
SymLinksIfOwnerMatch

   This option should not be considered a security restriction,
   since symlink testing is subject to race conditions that
   make it circumventable.

Отсюда возникает вопрос: имеет ли смысл тестировать каждый элемент
пути при каждом запросе, если это не даёт 100% гарантии ?


-- 
Igor Sysoev



Подробная информация о списке рассылки nginx-ru