Apache2 + PHP5 ENV

Michal Varga varga at stonehenge.sk
Fri Mar 4 11:09:06 CET 2005


On Fri, 2005-03-04 at 08:53 +0100, Tomi wrote:
> mozno napisu do php.ini "disable_functions = phpinfo"
>

Tak toto je uprimne ta vobec najhorsia vec, ktora sa da z hladiska
zabezpecenia PHP spravit. Security through obscurity
( http://en.wikipedia.org/wiki/Security_through_obscurity ) je snad
najvacsi omyl ludstva a nikdy nevedie nikam dalej, ako k este vacsim
problemom.

Aj pri zakazanej funkcii phpinfo() je stale mozne vsetky data, ktore
tato funkcia vracia v kolekcii, nacitat cez jednotlive funkcie, ktore na
to priamo sluzia (getenv(), get_cfg_var(), ini_get(), etc.). Aky ma teda
vyznam zakazovat php_info()? Ze sa admin potesi, ze uz je vsetko "hura
secure" a vypadne na squash?

Okrem toho, pre 99% vyvojarov, ktori na zmieneny server budu nieco
umiestnovat ma php_info() kriticky vyznam, kedze im umozni vobec zistit,
ci ich projekt v aktualnej konfiguracii PHP vobec bude bezat.

A nie, ziadna informacia, ktoru php_info() vracia nie je bezpecnostnym
rizikom, jedinym problemom je, ako su dane hodnoty nastavene a tento
problem NEZMIZNE tym, ze sa ludom zakaze pozriet si tieto nastavenia.
Pripadna diera v nastaveniach stale ostava a nikto, kto sa rozhodne
server napadnut cez PHP, ziadne php_info() potrebovat nebude, proste tam
vzdy naslepo pusti vsetko co ma.

m.

-- 
I can be googled, therefore I am.

Varga Michal <varga at stonehenge.sk>
Stonehenge




More information about the Users-l mailing list