| Autor | Zpráva | ||
|---|---|---|---|
| nethor Profil |
#1 · Zasláno: 4. 1. 2013, 21:56:13
Zdravím, mám hosting na Wedosu, ten umožňuje vytvořit samostatný ftp přístup pro určitou složku.
To je fajn, ale když do takové složky někdo nahraje php script, může se pomocí opendir() a readdir() vyšplhat do nadřazených složek, kam nemá přes FTP přístup. Dá se tomu nějak zabránit? (Zkoušel jsem různě přenastavovat Chmod, ale bez uspokojivého výsledku.) |
||
| Rfilip Profil |
#2 · Zasláno: 4. 1. 2013, 22:21:24
Vykonávání php-scriptu můžeš zakázat v .htaccess pomocí:
php_flag engine off |
||
| Davex Profil |
#3 · Zasláno: 5. 1. 2013, 00:47:24
nethor:
Omezit přístup do adresářů lze konfigurační volbou ( open_basedir), ale pokud vím, tak už to u tohoto hostingu nastavit nejde (dřív to šlo teoreticky nastavit v souboru .user.ini, ale to už vypnuli). A stejně, pokud tam někdo může nahrát PHP skript, tak si tím skriptem může změnit i nastavení v souboru .htaccess apod.
Rfilip: „php_flag engine off“ To tam taky nebude fungovat, protože nemají PHP jako modul mod_php5. Obecně je ještě další možnost jak vypnout vykonávání PHP skriptů v adresáři, ale na tomto hostingu je zablokovaná k tomu potřebná konfigurační volba. |
||
| nethor Profil |
#4 · Zasláno: 5. 1. 2013, 12:35:23
Davex:
Díky za nasměrování : open_basedir , tím by to asi šlo řešit. Podpora Wedosu to bohužel řešit nechce. Myslím, že je to docela vážná bezpečnostní díra : Vytvoříte samostané ftp pro určitou složku a ani Vás třeba nenapadne, že uživatele 'omezeného' ftp pouštíte prakticky do celého rootu. To není dobré. |
||
| Davex Profil |
#5 · Zasláno: 5. 1. 2013, 12:49:24
nethor:
Pokud ti jde především o bezpečnost, tak někdy jde obejít i open_basedir. Nejbezpečnější je řešit bezpečnost na úrovni operačního systému a spouštět PHP skripty pod jiným uživatelem s posunutým kořenovým adresářem, ale to se v rámci jednoho webhostingu (chápej jako tu službu co kupuješ) obvykle nedělá.
|
||
| nethor Profil |
#6 · Zasláno: 5. 1. 2013, 13:29:00
Davex:
Jde mi o to, že mám na Wedosu neomezený alias a občas (spíš vyjimečně) potřebuji dát někomu ftp pro určitou složku. Teď jsem s hrůzou zjistil, že se dá jednoduchým scriptem nahraným přes takové ftp dostat úplně všude po rootu daného hostingu. .. a třeba poškodit jiný alias-web nebo se dostat k citlivým informacím. Myslím, že tady v djpw nejsem jediný, kdo na Wedosu neomezený alias používá a sem tam někomu nějaké ftp např. pro upload poskytne. Vytvoření samostatného FTP přístupu na Wedosu zdarma je prima, ale taková díra může přijít zatraceně draho. To bych si radějii za FTP s ošetřeným přístupem do složky připlatil. |
||
| Davex Profil |
#7 · Zasláno: 5. 1. 2013, 14:56:53
nethor:
„To bych si radějii za FTP s ošetřeným přístupem do složky připlatil.“ Připlať si, ale jinde. Tento webhosting není stavěn pro takovéto speciality a jako multihosting bych ho nepoužíval. I ty aliasy mají vyřešeny hodně nešikovně, takže tam nefungují některé redakční systémy nebo pluginy do nich a při každé aktualizaci se to musí všelijak přiohýbat. |
||
|
Časová prodleva: 13 let
|
|||
0