Re: чтение чужих файлов: не стоит патчить
Dmitry E. Oboukhov
unera на uvw.ru
Вт Ноя 29 05:58:00 UTC 2011
>> и если кто-то делает ln -s /path/to name а потом читает name как
>> статику, он же может сделать:
>>
>> open my $fh, '<', '/path/to';
>> print "Content-Type: application/octet-stream\n\n";
>> print $_ while<$fh>;
> пользователь не имеет прямого доступа к этим чужим файлам.
> только nginx и apache. в apache можно закрыть "удобные пути"
> получения доступа к чужим файлам, а в nginx - нет такого способа.
1. вебсервер имеет прямой доступ к этим файлам
2. вебсервер - разделяем между кучей пользователей
3. В апаче нельзя закрыть удобные пути. Вышеприведенный пример - всего
три строки кода.
>>>> а костыли вида "не пойдет по симлинку" - лишь закрытие одного из сотен
>>>> путей
>>> все остальные "удобные пути" можно закрыть корректной настройкой apache,
>>> FollowSymLinks, SymLinksIfOwnerMatch, php_admin_value open_basedir
>>> и корректной настройкой прав доступа к каталогам пользователей.
>> Ну и как закрыть вышеприведенный путь настройкой апача? не давать
>> пользователю shared-хостинга юзать динамический контент? и сколько
>> пользователей будет завтра на этом хостинге?
> наверное этот вопрос про апач Вам следует задать в списке рассылки
> для пользователей дебиана. думаю, что там есть и те, кто знает ответ
> на этот Ваш вопрос. в этом списке рассылки по nginx вопросы корректной
> настройки apache+php для shared hosting`а наверное являются оффтопиком.
я говорю о том что не имеет смысла закрывать одну из тысяч дырочек в
решете. если эта проблема насущна, то пользователю shared-хостинга надо
задуматься над собственным хостингом. благо нынче они дешевые
--
. ''`. Dmitry E. Oboukhov
: :’ : email: unera на debian.org jabber://UNera@uvw.ru
`. `~’ GPGKey: 1024D / F8E26537 2006-11-21
`- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537
----------- следущая часть -----------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20111129/b061887c/attachment.bin>
Подробная информация о списке рассылки nginx-ru