Re: чтение чужих файлов.
Igor Sysoev
igor на sysoev.ru
Пт Ноя 25 09:25:34 UTC 2011
On Fri, Nov 25, 2011 at 10:58:32AM +0400, Dmitry E. Oboukhov wrote:
> > Собственно, уже не в первых раз, вижу
> > что как-то, через nginx читают файлы
> > других пользователей (php файлы, etc), чмод
> > которых >=644. Как именно, пока не знаю.
> > Тут
> > хттпs://damagelab.org/index.php?showtopic=22153&view=findpost&p=126003
> > багу продают за 700$
>
> > Интересны варианты решения. Вариант
> > расставлять всем чмод в принудительном
> > порядке не очень устраивает. Какие
> > будут варианты? Судя по всему, нужно
> > ковырять исходник.
>
> > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,218970,218970#msg-218970
>
> Скорее всего симлинки.
>
> У апача ЕМНИП есть опция (не )?ходить по симлинкам.
> Возможно надо такую же в nginx?
http://httpd.apache.org/docs/2.2/mod/core.html#options
FollowSymLinks
SymLinksIfOwnerMatch
This option should not be considered a security restriction,
since symlink testing is subject to race conditions that
make it circumventable.
Отсюда возникает вопрос: имеет ли смысл тестировать каждый элемент
пути при каждом запросе, если это не даёт 100% гарантии ?
--
Igor Sysoev
Подробная информация о списке рассылки nginx-ru