Apache2 + PHP5 ENV
Dan Lukes
dan at obluda.cz
Fri Mar 4 06:48:15 CET 2005
Martin Balint napsal/wrote, On 03/04/05 01:50:
>> Trochu ma znepokojuje vystup z phpinfo v sekcii Environment:
>>> Environment
>>> Variable Value
>>> MACHTYPE i386
...
>>> FTP_PASSIVE_MODE YES
>>> HOSTTYPE FreeBSD
>>> EDITOR vi
>> Ktera cast vystupu konkretne vas znepokojuje?
> No vseobecne asi vsetko, niesom na to velmi zvyknuty, ze je mozne si
> systemove premenne precitat na webe...
> Mozno to je len nejaka paranoia bez praktickeho dovodu, dost ma to ale
> zaskocilo, ked som to tam uvidel.
Onen WWW na vystup nevypsal nic, co byste nevedel a nechtel aby se
vypsalo. Prikaz phpinfo() nema jiny smysl, nez najednou vypsat tyto
informace - pokdu jste je vypsat nechte, pak ho, samozrejme, na stranku
nepiste. Ale i kdyby nexistoval - vetsinu z takto vypsanych udaju lze
zjistit a vypsat i jinak (myslim stale "jen" na prostredky PHP).
Program neudelal nic jineho, nez co jste po nem explicitne zadal - a
nevyzradil vam v zasade zadne informace, ktere jste nemohl vedet a
vyzradit i jinak.
I me by znepokojilo, kdyby nejaka WWW stranka zobrazovala pristupove
heslo k uctum tak, jak ho obvykle pouzivam - ale pokud bych nejprve sam
na stranku napsal prikaz, ktery by ho vypisoval, tak by me to asi moc
prekvapit nemelo ...
Ne ?
Dan
More information about the Users-l
mailing list