sslug-teknik team mailing list archive

[Jesper K. Pedersen <jkp@xxxxxxxxxxxxxx>]

> >HVORDAN SIKRER MAN SIN SERVER, SÅ DETTE IKKE KAN LADE SIG 
GØRE ?????
> 
>   Det eneste der reelt er at frygte er hvis administratoren 
laver den her af
> den ene eller anden grund
> 
>   chown -R FTPUSER.apache SITEKATALOG/
>   chmod g+w SITEKATALOG/
> 
>   eller selvfølgelig hvis han gør det samme med world men så 
er han fandme
> også for dum

Andreas - kan vi ikke prøve at moderere sproget lidt? *tak*

Jeg gætter på du ikke til dagligt arbejder med disse problemer - 
men "manden" har faktisk ret.
Forestil dig du er en hyggelig lille butik der sælger varer over 
nettet. Du har så en lille database på samme server med dit 
webhotel. Da det jo ville være nydeligt at kunne opdatere din 
database f.eks. med varer & priser så kunden kan få en 
bestilling ud af at kigge på der, laver du en lille afdeling der 
er "sikker" i form at lidt php + password osv. for at kunne 
redigere&opdatere din database.
Nu sidder der en lille fyr der egentligt synes han gerne vil 
have adgang til dine data og han tager et script, der som et 
hvilket som helst andet bibliotek læser ind gennem hele din 
webserver fil struktur og vupti... Alle filer som webserveren 
(dvs. OGSÅ PHP) kan læse kan du læse. Så kan du f.eks. glemme de 
simple sikkerhedsmetoder som .htpassword / .htaccess osv.

Tro mig - det er afprøvet på adskellige web/php udbydere og den 
virker desværre på temmeligt mange af dem.
Du kan endda læse ANDET end web sider der er sikret - hvad med 
f.eks. at læse /ets/passwd - og tænk så hvis administratoren 
ikke brugte shadow passwords, så er det bare at gå igang med 
hård knækning af passwords.

Men - selvfølgelig - al respekt for du ikke har noget at skjule, 
men jeg tror desværre at mange firmaer nu nok har 
kontroloplysninger på deres systemer de ikke har lyst til at 
dele med andre.

Kan du have en god dag og aften Andreas
Hilsen
Jesper K. Pedersen

*PS. Se - jeg råbte slet ikke af ham.