Groups | Search | Server Info | Login | Register

Groups > dk.edb.internet.webdesign.serverside.php > #7268

Re: Hvor farligt er det at åbne for include fra andre domæner?

Show key headers only | View raw

On 5/3/2020 6:07 PM, Bertel Lund Hansen wrote:
> Jeg har just lavet et php-script som tjekker brugerne af et
> domæne. Det ville jo være praktisk om jeg kunne lægge det som et
> modul på et af mine domæner og så bare inkludere det i de
> hjemmesider som jeg gerne vil have tjekket.
> 
> Imidlertid er der som standard på mit webhotel lukket for include
> udefra. Det kan jeg godt selv stille om på via et kontrolpanel,
> men hvor farligt er det at åbne for det?

Du mener allow_url_include?

Udfra en 1990'er sikkerheds tankegang er det ikke noget
problem. Du inkluderer kun din egen kode som er OK.

Udfra en moderne forsvar i dybden sikkerheds tankegang er
det problematisk.

Den gamle model er baseret på at der ingen fejl er. Men
sådan er virkeligheden ikke. I den virkelige verden er der
fejl i ens egen kode, fejl i platform softwaren og der begåes
menneskelige fejl.

Derfor bør man ikke kun tænke på at forhindre the bad guys
i at komme ind - man skal også tænke på at forhindre at
the bad guys kommer videre i systemet, hvis de kommer ind.

Fra det generelle tilbage til dit spørgsmål. Lad
os antage at du enabler allow_url_include.

Hvis den web applikation som hoster det includede bliver
hacket (uanset om det er en fejl i din kode eller en fejl
i LAMP stakken eller en tanketorsk hos de ansatte hos
dit web hotel), så kan det bruges til også at hacke alle
de web applikationer som inkluderer.

Hvis en af dine web applikationer har en fejl
der muliggør via noget injection at få den til at
inkludere noget bestemt via bruger input, så kan
hackere få udført vilkårlig kode.

Jeg ville ikke enable allow_url_include.

Og jeg kan heller ikke se nogle fordel ved det med
et normalt setup.

Er web hotellet master for source code, så er det
naturligvis et problem at skulle rette mange steder,
når den fil skal rettes.

Men med hvad jeg (optimistisk?) betragter som et
normalt setup:

source control--udtræk og upload script--web hotel

så retter du kun et sted og kører dit script og så har alle
web applikationerne den nye version.

Arne

Back to dk.edb.internet.webdesign.serverside.php | Previous | Next — Previous in thread | Next in thread | Find similar

Thread

Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 00:07 +0200
  Re: Hvor farligt er det at åbne for include fra andre domæner? Kim Ludvigsen <kim@kimsside.dk> - 2020-05-04 00:28 +0200
  Re: Hvor farligt er det at åbne for include fra andre domæner? Arne Vajhøj <arne@vajhoej.dk> - 2020-05-03 19:10 -0400
    Re: Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 09:56 +0200
  Re: Hvor farligt er det at åbne for include fra andre domæner? Jan Hansen <jhjjhjhhansen@gmail.com> - 2020-05-04 08:44 +0200
    Re: Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 09:55 +0200
      Re: Hvor farligt er det at åbne for include fra andre domæner? Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2020-05-04 11:56 +0200
        Re: Hvor farligt er det at åbne for include fra andre domæner? Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-05-04 13:09 +0200

csiph-web