Autor Zpráva
nethor
Profil
Zdravím, mám hosting na Wedosu, ten umožňuje vytvořit samostatný ftp přístup pro určitou složku.
To je fajn, ale když do takové složky někdo nahraje php script, může se pomocí opendir() a readdir() vyšplhat do nadřazených složek, kam nemá přes FTP přístup.
Dá se tomu nějak zabránit?
(Zkoušel jsem různě přenastavovat Chmod, ale bez uspokojivého výsledku.)
Rfilip
Profil
Vykonávání php-scriptu můžeš zakázat v .htaccess pomocí:
php_flag engine off
Pokud chceš zabránit jen přečtení vyšších složek, nevím o žádné možnosti jen za pomoci .htaccess.
Davex
Profil
nethor:
Omezit přístup do adresářů lze konfigurační volbou (open_basedir), ale pokud vím, tak už to u tohoto hostingu nastavit nejde (dřív to šlo teoreticky nastavit v souboru .user.ini, ale to už vypnuli). A stejně, pokud tam někdo může nahrát PHP skript, tak si tím skriptem může změnit i nastavení v souboru .htaccess apod.

Rfilip:
php_flag engine off
To tam taky nebude fungovat, protože nemají PHP jako modul mod_php5. Obecně je ještě další možnost jak vypnout vykonávání PHP skriptů v adresáři, ale na tomto hostingu je zablokovaná k tomu potřebná konfigurační volba.
nethor
Profil
Davex:
Díky za nasměrování : open_basedir , tím by to asi šlo řešit.

Podpora Wedosu to bohužel řešit nechce.
Myslím, že je to docela vážná bezpečnostní díra :
Vytvoříte samostané ftp pro určitou složku a ani Vás třeba nenapadne,
že uživatele 'omezeného' ftp pouštíte prakticky do celého rootu.
To není dobré.
Davex
Profil
nethor:
Pokud ti jde především o bezpečnost, tak někdy jde obejít i open_basedir. Nejbezpečnější je řešit bezpečnost na úrovni operačního systému a spouštět PHP skripty pod jiným uživatelem s posunutým kořenovým adresářem, ale to se v rámci jednoho webhostingu (chápej jako tu službu co kupuješ) obvykle nedělá.
nethor
Profil
Davex:
Jde mi o to, že mám na Wedosu neomezený alias a občas (spíš vyjimečně) potřebuji dát někomu ftp pro určitou složku.
Teď jsem s hrůzou zjistil, že se dá jednoduchým scriptem nahraným přes takové ftp dostat úplně všude po rootu daného hostingu.
.. a třeba poškodit jiný alias-web nebo se dostat k citlivým informacím.

Myslím, že tady v djpw nejsem jediný, kdo na Wedosu neomezený alias používá a sem tam někomu nějaké ftp např. pro upload poskytne.
Vytvoření samostatného FTP přístupu na Wedosu zdarma je prima, ale taková díra může přijít zatraceně draho.
To bych si radějii za FTP s ošetřeným přístupem do složky připlatil.
Davex
Profil
nethor:
To bych si radějii za FTP s ošetřeným přístupem do složky připlatil.
Připlať si, ale jinde. Tento webhosting není stavěn pro takovéto speciality a jako multihosting bych ho nepoužíval. I ty aliasy mají vyřešeny hodně nešikovně, takže tam nefungují některé redakční systémy nebo pluginy do nich a při každé aktualizaci se to musí všelijak přiohýbat.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: