Apache2 + PHP5 ENV
Michal Varga
varga at stonehenge.sk
Fri Mar 4 11:09:06 CET 2005
On Fri, 2005-03-04 at 08:53 +0100, Tomi wrote:
> mozno napisu do php.ini "disable_functions = phpinfo"
>
Tak toto je uprimne ta vobec najhorsia vec, ktora sa da z hladiska
zabezpecenia PHP spravit. Security through obscurity
( http://en.wikipedia.org/wiki/Security_through_obscurity ) je snad
najvacsi omyl ludstva a nikdy nevedie nikam dalej, ako k este vacsim
problemom.
Aj pri zakazanej funkcii phpinfo() je stale mozne vsetky data, ktore
tato funkcia vracia v kolekcii, nacitat cez jednotlive funkcie, ktore na
to priamo sluzia (getenv(), get_cfg_var(), ini_get(), etc.). Aky ma teda
vyznam zakazovat php_info()? Ze sa admin potesi, ze uz je vsetko "hura
secure" a vypadne na squash?
Okrem toho, pre 99% vyvojarov, ktori na zmieneny server budu nieco
umiestnovat ma php_info() kriticky vyznam, kedze im umozni vobec zistit,
ci ich projekt v aktualnej konfiguracii PHP vobec bude bezat.
A nie, ziadna informacia, ktoru php_info() vracia nie je bezpecnostnym
rizikom, jedinym problemom je, ako su dane hodnoty nastavene a tento
problem NEZMIZNE tym, ze sa ludom zakaze pozriet si tieto nastavenia.
Pripadna diera v nastaveniach stale ostava a nikto, kto sa rozhodne
server napadnut cez PHP, ziadne php_info() potrebovat nebude, proste tam
vzdy naslepo pusti vsetko co ma.
m.
--
I can be googled, therefore I am.
Varga Michal <varga at stonehenge.sk>
Stonehenge
More information about the Users-l
mailing list