Imho blacklistovat funkci je spatny pristup. Mas veci jako exec a buhvi co jeste - vzdycky muzes na neco zapomenout. Blacklist jako jedina seciruty featura nestaci, musis tam mit nejakou obecnou.
On 02/23/2016 05:39 PM, Martin Miksanik wrote:
Podle me tohle celkem dobre resi BaseDir v php.
Basedir je AFAIK něco, co vývojáři PHP považují za broken by design. Navíc když je to zapnuté, některé věci nefungují (tím neříkám, že se to nemá používat, jenom že to není zázračné řešení.)
Navíc tazatel - jestli jsem dobře pochopil - řeší možnost, že code execution chyba v jeho aplikaci umožní někomu udělat chmod na kód/data webu a donahrát tam vlastní soubory. Proti tomu basedir neochrání.
Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde
si muzes hrat i s vlastnim chrootem, usery tahat z DB atd.
Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.
Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout
Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot,
basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne
aplikace), ale i tak by se k nim nemel nikdo dostat.
Tolik teorie. Od praxe se liší především v praxi, zejména když jde o Wordpress a podobné. ;-) A kdo za to pak může už je jedno, stejně se to musí řešit.
Muzes klidne funkci chmod v php zakazat :)
S tímhle přístupem (věřím, že zakázané funkce nejde znovu povolit) by to php mohl spouštět pod www-data ;-)
_______________________________________________
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list