Groups | Search | Server Info | Login | Register
Groups > dk.edb.internet.webdesign.serverside.php > #7268
| From | Arne Vajhøj <arne@vajhoej.dk> |
|---|---|
| Newsgroups | dk.edb.internet.webdesign.serverside.php |
| Subject | Re: Hvor farligt er det at åbne for include fra andre domæner? |
| Date | 2020-05-03 19:10 -0400 |
| Organization | Aioe.org NNTP Server |
| Message-ID | <r8nj1u$1sfa$1@gioia.aioe.org> (permalink) |
| References | <1wi8vjk8d3l78.dlg@lundhansen.dk> |
On 5/3/2020 6:07 PM, Bertel Lund Hansen wrote: > Jeg har just lavet et php-script som tjekker brugerne af et > domæne. Det ville jo være praktisk om jeg kunne lægge det som et > modul på et af mine domæner og så bare inkludere det i de > hjemmesider som jeg gerne vil have tjekket. > > Imidlertid er der som standard på mit webhotel lukket for include > udefra. Det kan jeg godt selv stille om på via et kontrolpanel, > men hvor farligt er det at åbne for det? Du mener allow_url_include? Udfra en 1990'er sikkerheds tankegang er det ikke noget problem. Du inkluderer kun din egen kode som er OK. Udfra en moderne forsvar i dybden sikkerheds tankegang er det problematisk. Den gamle model er baseret på at der ingen fejl er. Men sådan er virkeligheden ikke. I den virkelige verden er der fejl i ens egen kode, fejl i platform softwaren og der begåes menneskelige fejl. Derfor bør man ikke kun tænke på at forhindre the bad guys i at komme ind - man skal også tænke på at forhindre at the bad guys kommer videre i systemet, hvis de kommer ind. Fra det generelle tilbage til dit spørgsmål. Lad os antage at du enabler allow_url_include. Hvis den web applikation som hoster det includede bliver hacket (uanset om det er en fejl i din kode eller en fejl i LAMP stakken eller en tanketorsk hos de ansatte hos dit web hotel), så kan det bruges til også at hacke alle de web applikationer som inkluderer. Hvis en af dine web applikationer har en fejl der muliggør via noget injection at få den til at inkludere noget bestemt via bruger input, så kan hackere få udført vilkårlig kode. Jeg ville ikke enable allow_url_include. Og jeg kan heller ikke se nogle fordel ved det med et normalt setup. Er web hotellet master for source code, så er det naturligvis et problem at skulle rette mange steder, når den fil skal rettes. Men med hvad jeg (optimistisk?) betragter som et normalt setup: source control--udtræk og upload script--web hotel så retter du kun et sted og kører dit script og så har alle web applikationerne den nye version. Arne
Back to dk.edb.internet.webdesign.serverside.php | Previous | Next — Previous in thread | Next in thread | Find similar
Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 00:07 +0200
Re: Hvor farligt er det at åbne for include fra andre domæner? Kim Ludvigsen <kim@kimsside.dk> - 2020-05-04 00:28 +0200
Re: Hvor farligt er det at åbne for include fra andre domæner? Arne Vajhøj <arne@vajhoej.dk> - 2020-05-03 19:10 -0400
Re: Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 09:56 +0200
Re: Hvor farligt er det at åbne for include fra andre domæner? Jan Hansen <jhjjhjhhansen@gmail.com> - 2020-05-04 08:44 +0200
Re: Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 09:55 +0200
Re: Hvor farligt er det at åbne for include fra andre domæner? Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2020-05-04 11:56 +0200
Re: Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 13:09 +0200
csiph-web