Re: чтение чужих файлов: не стоит патчить

Gena Makhomed gmm на csdoc.com
Вт Ноя 29 12:17:16 UTC 2011 

On 29.11.2011 13:40, Dmitry E. Oboukhov wrote:

>> CGI-скрипты могут быть или вообще запрещены (сейчас не 1993 год уже)
>> или могут работать с правами пользователя, а не веб-сервера и поэтому
>> доступа к чужим файлам получить не смогут, ни по симлинку ни напрямую.

> и mod-perl запретить. и mod-python и всякие плакхендлеры итп че уж там.

на shared hosting`ах естественно что mod_perl запрещен.
а mod_python - это уже очень давно устаревшая технология.

если кто-то предоставляет такую услугу как mod_perl -
там пользователю выделяется отдельный экземпляр апача.

>>> я говорю о том что не имеет смысла закрывать одну из тысяч дырочек в
>>> решете. если эта проблема насущна, то пользователю shared-хостинга надо
>>> задуматься над собственным хостингом. благо нынче они дешевые

>> все остальные способы закрыть можно.

> нельзя. иначе на этот шаред хостинг никто не пойдет

а пойдут туда, где любой желающий может править их сайт? не верю.

>>> если пользователь сделал 777 на все файлы,
>>> то как ему поможет защита от скачивания через симлинки?

>> он не сможет изменить права доступа к своему домашнему каталогу,
>> потому что у него нет права записи в каталог /home, потому что
>> владельцем каталога /home является root:root, права доступа 0755.

> тут тоже ошибочка.

> apache:[~]$ ls -ld /home
> drwxr-xr-x 7 root root 12288 Июл 29 12:30 /home
>
> apache:[~]$ ls -ld `pwd`
> drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka
>
> apache:[~]$ chmod 0700 `pwd`
>
> apache:[~]$ ls -ld `pwd`
> drwx------ 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka
>
> apache:[~]$ chmod 0755 `pwd`
>
> apache:[~]$ ls -ld `pwd`
> drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

да, тут я ошибся. но эту уязвимость можно закрыть,
создавая домашний каталог пользователя не в /home,
а в подкаталоге /home, права доступа на который
пользователь уже не сможет изменить самостоятельно,
даже имея доступ к своему домашнему каталогу через ssh.
насколько я помню, на shared hosting`ах именно так и делают,
или каким-то другим способом закрывают эту уязвимость.

-- 
Best regards,
  Gena

Подробная информация о списке рассылки nginx-ru