Bezpecnostni problem s cache?

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
před 14 lety
crempa
Člen | 198
+
0
-

Cau, narazil jsem dnes na bugtrackeru na tento problem https://github.com/…nette/issues#…
Nikdy jsem toto moc neresil, protoze provozuju aplikace na vlastnim serveru, ale je pravda, ze se nette takhle chova… Nemam zkusenosti s provozem na verejnem hostingu, takze myslite ze to muze byt problem…

btw: vytahuju to jen proto aby to tam pripadne nezapadlo…

před 14 lety
Panda
Člen | 569
+
0
-

Hm, je to opravdu problém Nette? Neměl by to být spíš problém provozovatele hostingu, aby jednotlivé weby od sebe řádně oddělil? Protože pokud by bylo tak triviální získat ten „non-root file access“, tak má každý přístup ke všem souborům jiných uživatelů (včetně hesel a tím pádem i databází) a celý sdílený hosting by byl naprd. Každý normální provozovatel hostingu nastaví pro každého správně open_basedir, případně chrootování, pokud to běží přes suexec.

před 14 lety
crempa
Člen | 198
+
0
-

No me je od mych telecich linux let vsemi linux guru do hlavy vtloukano ze 777 je spatne, takze osobne ho nikde a nikdy nepouzivam… proto me tohle lehce zarazilo a taky sem to tu vypichnul.
Spravu linuxu jinak nechavam na povolanejsich a proto asi nijak vecne nezareaguju na tvou odpoved… kazdopadne i tak diky za ni :)

před 14 lety
exa
Člen | 1
+
0
-

Je potřeba upozornit, že „řádné oddělení webů“ není často tak úplně možné. Kromě běžných problémů zabraňujících efektivitě PHP basepath, kromě toho že většina hostingových systémů na to není zvyklá ani stavěná, kromě toho že běžný uživatel, pokud vyloženě nechce aby jeho soubory někdo četl (situačně např. na univerzitním hostingu), explicitně jim nastaví „chmod o-rwx“ a kromě toho že nemůžeme všechno chrootovat je tady ještě zajímavý fakt že průměrný franta programátor PHP o ničem takovém ani neví.

Nepopírám, že to je problém někoho jiného, nicméně takovéto ignorování zcela běžné praxe na unixových systémech je podle mě naprosto zbytečné, když je oprava problému navíc triviální. Uživatelé v potenciálně nepřátelských prostředích jsou nuceni dělat úpravy přímo v kódu nette.

Chápu, že 777 má i svoje výhody, například že to funguje napoprvé ať to člověk švihne kamkoliv… Bohužel nemám možnost to docenit :D

Ale abych jen nerejpal, nějaký easy patch poskytnu hned jak si udělám čas.

dík

  • mk
před 14 lety
Ped
Člen | 64
+
0
-

Neni to tak ze kdyz samotny app/temp ma 770, tak to 777 na samotnem souboru vyrusi? Za ty roky co *nix pouzivam bych to i mel vedet, ale doznavam se, ze nevim. :(

Edit: ted mne napadlo ze cache si tam stejne udela adresare, ktere maji pak 777, takze je to tak jako tak spatne.

A taky ted mne napadlo, proc?! Existuje nejaka konfigurace hostingu kde by jednotlive instance cache bezely pokazde pod jinym uzivatelem, nebo by bylo potreba pod jinym uzivatelem z cache cist? Bych rekl ze 700 bohate staci, protoze stejne si to pokaze vytvori/nacte/prepise/smaze php, jediny problem by mohl byt kdyz chce cache promazat uzivatel pres ftp.

Editoval Ped (10. 5. 2010 10:14)

před 14 lety
crempa
Člen | 198
+
0
-

Ahoj,
popravde bych ocekaval zivejsi diskusi na tema primo zasahujici povest nejbezpecnejsiho PHP frameworku… :-)