ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов: не стоит патчить

>>>> и если кто-то делает ln -s /path/to name а потом читает name как
>>>> статику, он же может сделать:
>>>> 
>>>>     open my $fh, '<', '/path/to';
>>>>     print "Content-Type: application/octet-stream\n\n";
>>>>     print $_ while<$fh>;
>> 
>>> пользователь не имеет прямого доступа к этим чужим файлам.
>>> только nginx и apache. в apache можно закрыть "удобные пути"
>>> получения доступа к чужим файлам, а в nginx - нет такого способа.
>> 
>> 1. вебсервер имеет прямой доступ к этим файлам
>> 2. вебсервер - разделяем между кучей пользователей
>> 3. В апаче нельзя закрыть удобные пути. Вышеприведенный пример - всего
>> три строки кода.

> CGI-скрипты могут быть или вообще запрещены (сейчас не 1993 год уже)
> или могут работать с правами пользователя, а не веб-сервера и поэтому
> доступа к чужим файлам получить не смогут, ни по симлинку ни напрямую.

и mod-perl запретить. и mod-python и всякие плакхендлеры итп че уж там.

>> я говорю о том что не имеет смысла закрывать одну из тысяч дырочек в
>> решете. если эта проблема насущна, то пользователю shared-хостинга надо
>> задуматься над собственным хостингом. благо нынче они дешевые

> все остальные способы закрыть можно.

нельзя. иначе на этот шаред хостинг никто не пойдет


>> если пользователь сделал 777 на все файлы,
>> то как ему поможет защита от скачивания через симлинки?

> он не сможет изменить права доступа к своему домашнему каталогу,
> потому что у него нет права записи в каталог /home, потому что
> владельцем каталога /home является root:root, права доступа 0755.

тут тоже ошибочка.

apache:[~]$ ls -ld /home      
drwxr-xr-x 7 root root 12288 Июл 29 12:30 /home

apache:[~]$ ls -ld `pwd`
drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

apache:[~]$ chmod 0700 `pwd`

apache:[~]$ ls -ld `pwd`    
drwx------ 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

apache:[~]$ chmod 0755 `pwd`

apache:[~]$ ls -ld `pwd`    
drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

-- 

. ''`.                               Dmitry E. Oboukhov
: :?  :   email: unera@xxxxxxxxxx jabber://UNera@xxxxxx
`. `~?              GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537

Attachment: signature.asc
Description: Digital signature

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

 



Copyright © Lexa Software, 1996-2009.