← Back to team overview

sslug-teknik team mailing list archive

RE: PHP gennem suEXEC på Apache?

 

Jesper skrev:

> Jeg har afprøvet et "ikke nærmere navngivet" webhotel for ca. 6
> måneder siden, omkring denne form for uautoriseret adgang, da
> jeg jo absolut ikke mente det kunne være rigtigt at sikkerheden
> var så dårlig. Til min store forbavselse ER sikkerheden så
> dårlig. Da jeg skrev til udbyderen om de selv var klar over
> problemet, fik jeg et venligt svar der truede med at jeg ville
> blive anmeldt for hacking, hvis jeg gav informationen videre.
> Jeg besluttede mig derefter at der INGEN sikkerhedsmæssige
> detaljer skal være på vores eget web site (der er nede alligevel
> men det er en helt anden snak ;-)

Yeah.... "Kill the messenger"!

Det er da klart, at man lige skal give udbyderen en chance for at få
patchet deres systemer inden man evt. fortæller det videre. (Det kan jo
i sidste ende give din udbyder en konkurrencefordel, da sikkerhedshullet
kun er lukket hos dem, men ikke hos alle de andre.) -- I en sådan
situation vil jeg som udbyder helt klart reklamere for, at vi har bedre
sikkerhed end de andre...

Jeg vil da gerne fortælle historien videre til f.eks. ComputerWorld. Så
kan alle der har adgang til et webhotel med PHP selv diskutere det med
deres udbyder.


> Som du selv siger burde vi nok råbe lidt højere for at få bedre
> sikkerhed.
> I dag kan alle der kan installere et stykke software som Apache
> jo til billige penge udråbe sig som web udbyder, uden dog at ane
> en disse om det. Resultatet er at en række firmaer i dag står og
> betaler for en "sikkerhed" der intet er værd.

Det er vel også derfor der fortsat er prisforskel på markedet. (Okay: I
det her eksempel med PHP, tror jeg faktisk ikke at der er nogle (inkl.
Kunder) der faktisk er klar over sikkerhedshullet.)


> Hvad man kan lære af den tråd vi har her er at der ikke skal
> ligge data man forventer, der er private på et offentligt web
> host system uden de kan give  garantier om sikkerheden.

Jeg ville da heller ikke gøre det alligevel, hvis der bliver stillet
garantier om sikkerheden. Hvis sikkerheden først er brudt, er det jo for
sent.

Min umiddelbare konklusion er, at man altid skal vælge en dedikeret
serverløsning, og så selvfølgelig få lukket alle portene undtaget de
allermest nødvendige (SSH, SMTP, HTTP, HTTPS). Selvfølgelig skal
softwaren også patches løbende.

M.v.h.
Morten