Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов: не стоит патчить

To: nginx-ru@xxxxxxxxx
Subject: Re: чтение чужих файлов: не стоит патчить
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Tue, 29 Nov 2011 13:17:20 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1322565441; bh=0PHhkjMokGuaD3D5dXC3tYgh1WWq9TgMnydhiKZV5CA=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=EWCp4gHpXBRFBzD4FDS85Fe6MaU6ABnd352WEDxa8QlhQJcu4fVon2KXD4FFsy2kl tf3DbLWpHFHmvVmcOFH3KcaQlaxRVoITyOXGLRK1pEdysI8JQsauUIIX/FBlo60Dp7 VtryYelzW2ZAcZPQ81HAticrgc2R40bUg8F6s9xM=
In-reply-to: <20111129055759.GE27740@xxxxxxxxxxxxxxxxx>
References: <1594eadc003bdfe5ebd902833d5d7c93.NginxMailingListRussian@xxxxxxxxxxxxxxx> <20111126051920.GR3769@xxxxxxxxxxxxxxxxx> <413943734.20111126172804@xxxxxx> <20111127130902.GA3834@xxxxxxxxxxxxxxxxx> <4ED36780.5030801@xxxxxxxxx> <20111128125321.GB20363@xxxxxxxxxxxxxxxxx> <4ED38793.2040803@xxxxxxxxx> <20111129055759.GE27740@xxxxxxxxxxxxxxxxx>

On 29.11.2011 7:58, Dmitry E. Oboukhov wrote:

и если кто-то делает ln -s /path/to name а потом читает name как
статику, он же может сделать:

     open my $fh, '<', '/path/to';
     print "Content-Type: application/octet-stream\n\n";
     print $_ while<$fh>;

пользователь не имеет прямого доступа к этим чужим файлам.
только nginx и apache. в apache можно закрыть "удобные пути"
получения доступа к чужим файлам, а в nginx - нет такого способа.


1. вебсервер имеет прямой доступ к этим файлам
2. вебсервер - разделяем между кучей пользователей
3. В апаче нельзя закрыть удобные пути. Вышеприведенный пример - всего
три строки кода.


CGI-скрипты могут быть или вообще запрещены (сейчас не 1993 год уже)
или могут работать с правами пользователя, а не веб-сервера и поэтому
доступа к чужим файлам получить не смогут, ни по симлинку ни напрямую.

Ну и как закрыть вышеприведенный путь настройкой апача? не давать
пользователю shared-хостинга юзать динамический контент? и сколько
пользователей будет завтра на этом хостинге?

наверное этот вопрос про апач Вам следует задать в списке рассылки
для пользователей дебиана. думаю, что там есть и те, кто знает ответ
на этот Ваш вопрос. в этом списке рассылки по nginx вопросы корректной
настройки apache+php для shared hosting`а наверное являются оффтопиком.

я говорю о том что не имеет смысла закрывать одну из тысяч дырочек в
решете. если эта проблема насущна, то пользователю shared-хостинга надо
задуматься над собственным хостингом. благо нынче они дешевые

все остальные способы закрыть можно. как закрыть доступ к чужим файлам
через симлинки, если статика там раздается напрямую через nginx,
а операционная система является POSIX-совместимой - я не знаю.

On 29.11.2011 8:02, Dmitry E. Oboukhov wrote:

> если пользователь сделал 777 на все файлы,
> то как ему поможет защита от скачивания через симлинки?

он не сможет изменить права доступа к своему домашнему каталогу,
потому что у него нет права записи в каталог /home, потому что
владельцем каталога /home является root:root, права доступа 0755.

--
Best regards,
 Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov

References:
- чтение чужих файлов.
  - From: adept
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Pavel V.
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Gena Makhomed
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Gena Makhomed
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov

Prev by Date: Re: чтение чужих файлов: не стоит патчить
Next by Date: Re: чтение чужих файлов: не стоит патчить
Previous by thread: Re: чтение чужих файлов: не стоит патчить
Next by thread: Re: чтение чужих файлов: не стоит патчить
Index(es):
- Date
- Thread