PHP 5.2.15 a nefunkční open_basedir
10.12.2010
Bez komentářů
Při testování PHP 5.2.15 před nasazením na naše servery jsem narazil na dost závažný problém který se ve starších verzích nevyskytoval – nefunkční open_basedir nastavovaný pomocí konfigurace Apache v sekci VirtualHost. Problém se mi podařilo najít celkem rychle – nějakej idiot kterejch je mezi autorama PHP spousta se učil pracovat se stringama a vážně mu to moc nešlo, takže to rozbil. Nicméně oprava je poměrně jednoduchá. Číst více …
Jedním ze základních požadavků na bezpečnost bývá rozdělení běžících služeb pod různá UID a GID. Bohužel webový server Apache je schopen běžet pouze pod jedním UID/GID, čož při použití na obsluhu pouze jedné webové aplikace od jednoho živatele není vůbec žádný problém. Situace se ale z hlediska bezpečnosti výrazne zhorší pokud na serveru bude více webových aplikací od více uživatelů, kdy jejich webové aplikace sdílí společná práva. Ačkoliv často zatracovaný server IIS obsahuje funkcionalitu pro obsluhu jednotlivých virtuálních serverů pod různými oprávněními je toto chování do „úžasného“ apache nutné doplnit externím patchem.
Nejčastější způsob přihlašování uživatelů k webovým službám je pomocí hesla. Implementace je jednoduchá a bezpečnost obvykle dostačující, ale slabým článkem je uživatel. Sice je dnes běžné že uživatelé používají nějakou klíčenku na hesla a to ať už přímo integrovanou v prohlížeči nebo v operačním sysstému (Mac OS X, Linux+KDE/Gnome, …), takže i hesla nemusí pamatovat a v případě zapomenutí je možnost jak heslo získat jinak, nebo heslo změnit (například potvrzení e-mailem, přednastavená otázka a tak podobně). Co je tedy tím slabým článkem u uživatele? No přeci jeho vlastní fantazie a problém sám vymyslet heslo které nebude stejné na všechny jím používané služby.