Сделано в Раскрутке

Архив эхоконференции RU.PHP

- RU.PHP ------------------------------------------------------------- RU.PHP -
 Msg  : #45 [2443]
 От   : Konstantin Boyandin           2:5020/175.2        11 мая 03, 14:10
 Кому : black c0de                                        16 мая 03, 21:09
 Тема : chmod, etc
-------------------------------------------------------------------------------
From: "Konstantin Boyandin" 

    Приветствую, black c0de!

 bc>>>     да, это еще тот геморой.... 8) только я не думаю что поставив такие
 bc>>> права сразу же возникает эта проблема, возможно это как вариант, но не
 bc>>> 100% признак наличия проблемы. [...]

 KB>>     100%. Если стоит 'other read' и нет зотя бы open_basedir, то
 KB>> функциями  обращения к файловой системе можно считать эти файлы.
 KB>> Достаточно знать имя  файла.

 bc> а если файл .php - не прокатит, верно?

    Кто сказал? Hикаких исключений, функциями fopen/fread/fclose читается
*всё*. 

 bc>>> [...] если таки макаром - тогда любой сможет проглядеть исходники а не
 bc>>> только тот, кто у моего хостера. какая разница откуда запрашивать файлы
 bc>>> у  сервера?

 KB>>     Ты в курсе, что происходит при запросе URL?

 bc>     конечно, апач начинает активно парсить свой конфиг ;) ну или где он
 bc> там у него, скорее замаппен в память, но это уже не суть важно в данном
 bc> трэде.

    Что он там начинает активно парсить - другой вопрос (кстати, ни фига не
активно, ибо уже распарслен при старте демона). Главное то, что .php-файлы не
отсылаются клиенту, а передаются другому процессу для обработки.

 KB>> Разница в том, как настроен HTTPd (речь, полагаю, о попытке взять файлы
 KB>> по  HTTP) и какие файлы он "отдаёт" в том виде, в котором они лежат, а
 KB>> какие  обрабатывает специальным образом (в данном случае .php не
 KB>> отдаются  попросту в таком виде, в котором написаны).

 bc> вот! если этот тип файла имеет свой Action - сервер отдаст результат
 bc> выполнения.

    Если ты всё это понимаешь, зачем задаёшь вопросы, из которых следует, что
понимаешь это туманно?

 KB>>     Почему не потребовать наличия r--r-----? Или даже r--------? Способы
 KB>> решения проблемы с безопасностью я уже перечислял. Их вообще достаточно
 KB>> активно обсуждают в форумах, посвящённых PHP.

 bc>     ok, остановимся на том, что на правильном хостинге HЕ должно быть
 bc> обязательным требованием ------r--, так?

    А ещё хорошо предотвратить возможность доступа к каталогам, не входящим в
твой Web-root. 

    Всего наилучшего,

Константин

http://shamteran.ru

--- ifmail v.2.15dev5
 * Origin: FidoNet Online - http://www.fido-online.com (2:5020/175.2)
При переходе по баннеру - скидка 25% на первый месяц обслуживания!
Самый простой способ получить ROOT-доступ
При переходе по баннеру - скидка 25% на первый месяц обслуживания!