Apache2 + PHP5 ENV

Dan Lukes dan at obluda.cz
Fri Mar 4 06:48:15 CET 2005


Martin Balint napsal/wrote, On 03/04/05 01:50:
>> Trochu ma znepokojuje vystup z phpinfo v sekcii Environment:
 >>> Environment
 >>> Variable    Value
 >>> MACHTYPE     i386
...
 >>> FTP_PASSIVE_MODE     YES
 >>> HOSTTYPE     FreeBSD
 >>> EDITOR     vi

>>    Ktera cast vystupu konkretne vas znepokojuje?

> No vseobecne asi vsetko, niesom na to velmi zvyknuty, ze je mozne si 
> systemove premenne precitat na webe...
> Mozno to je len nejaka paranoia bez praktickeho dovodu, dost ma to ale 
> zaskocilo, ked som to tam uvidel.

	Onen WWW na vystup nevypsal nic, co byste nevedel a nechtel aby se 
vypsalo. Prikaz phpinfo() nema jiny smysl, nez najednou vypsat tyto 
informace - pokdu jste je vypsat nechte, pak ho, samozrejme, na stranku 
nepiste. Ale i kdyby nexistoval - vetsinu z takto vypsanych udaju lze 
zjistit a vypsat i jinak (myslim stale "jen" na prostredky PHP).

	Program neudelal nic jineho, nez co jste po nem explicitne zadal - a 
nevyzradil vam v zasade zadne informace, ktere jste nemohl vedet a 
vyzradit i jinak.

	I me by znepokojilo, kdyby nejaka WWW stranka zobrazovala pristupove 
heslo k uctum tak, jak ho obvykle pouzivam - ale pokud bych nejprve sam 
na stranku napsal prikaz, ktery by ho vypisoval, tak by me to asi moc 
prekvapit nemelo ...

	Ne ?

					Dan



More information about the Users-l mailing list