Re: чтение чужих файлов: не стоит патчить
Dmitry E. Oboukhov
unera на uvw.ru
Пн Ноя 28 12:53:21 UTC 2011
>> 1. пользователь может создавать симлинки (= имеет доступ к файловой
>> системе от своего имени)
>> 2. пользовтатель - один из пользователей шаред вебхостинга. то есть
>> может при желании запустить произвольный скрипт от имени вебсервера.
>> таким образом ограничение на хождение по симлинкам итп - лишь
>> сокращение удобных способов получить чужой конфиг.
> да, это нужно для того, чтобы закрыть возможность
> пользователям shared hosting`а получить чужой конфиг.
но это не закрывает эту возможность. пользователи современных
хостингов могут использовать для этой цели помимо ninx: php, perl,
просто CGI итп
>> если этот чужой конфиг должен читать вебсервер, то единственный путь
>> его защитить - индивидуальный а не шаред вебсервер.
> если "индивидуальный вебсервер" - это уже не будет shared hosting.
ну а shared hosting отдающий только статику нынче не является
хостингом. туда никакой клиент не пойдет.
и если кто-то делает ln -s /path/to name а потом читает name как
статику, он же может сделать:
open my $fh, '<', /path/to;
print "Content-Type: application/octet-stream\n\n";
print $_ while <$fh>;
>> а костыли вида "не пойдет по симлинку" - лишь закрытие одного из сотен
>> путей
> все остальные "удобные пути" можно закрыть корректной настройкой apache,
> FollowSymLinks, SymLinksIfOwnerMatch, php_admin_value open_basedir
> и корректной настройкой прав доступа к каталогам пользователей.
Ну и как закрыть вышеприведенный путь настройкой апача? не давать
пользователю shared-хостинга юзать динамический контент? и сколько
пользователей будет завтра на этом хостинге?
--
. ''`. Dmitry E. Oboukhov
: :’ : email: unera на debian.org jabber://UNera@uvw.ru
`. `~’ GPGKey: 1024D / F8E26537 2006-11-21
`- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537
----------- следущая часть -----------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20111128/1aa196f2/attachment.bin>
Подробная информация о списке рассылки nginx-ru