Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Arno Welzel Newsgroups: de.comm.software.webserver Subject: Re: Scriptsammlung isolierter Vhost Date: Sat, 2 Jul 2022 14:55:17 +0200 Lines: 44 Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Trace: individual.net 8sxEaFmtUVpyP/w+5c4GbAJQUOHBJFY2C60tCG3NkeVPbnWZ2K Cancel-Lock: sha1:FurohwupbUdSEdbLdnvLfbSZFzg= Content-Language: de-DE In-Reply-To: Xref: csiph.com de.comm.software.webserver:1475 Thomas Hochstein: > Arno Welzel schrieb: > >> Thomas Hochstein: >>> Sehr viele Webseiten enthalten Dateien, die nicht von außen abrufbar sein >>> sollen oder dürfen. Zum einen können das interne/geschützte Bereiche sein, >>> zum anderen sind bei Webapplikationen oder CMS regelmäßig Passworte (bspw. >>> für die dahinterstehende Datenbank) im Quellcode enthalten. >> >> Nein, nicht im Quellcode, sondern in einer Konfigurationdatei, an die >> man von außen per HTTP(S) nicht herankommt. Und "geschützte Bereiche" >> werden üblicherweise vom Webserver geschützt. > > Wieso "nein"? Du wiederholst doch mit anderen Worten, was ich schrieb. Du schreibst, im Quellcode von Dateien wären Passworte vorhanden. Und ich sagte: nein, genau da sind diese Datene eben *nicht*. Das ist nicht das selbe. Bei Symfony z.B. liegen die Datenbank-Zugangsdaten in der Environment-Konfiguration, die *nicht* durch den Webserver erreichbar ist. >> Ich sehe immer noch kein Szenario, bei dem ein Angreifer bei korrekter >> Konfiguration des Webservers an diese Daten herankommen sollte, nur weil >> die Dateien für den Webserver via www-data lesbar sind. > > Bei korrekter Konfiguration und Fehlerfreiheit des Webservers, PHP und der > darin geschriebenen Anwendungen hat man sehr viele Probleme nicht, ja. Eben - darum geht es. Wenn die Anwendung fehlerhaft ist, ist es komplett egal, ob sie mit www-data läuft oder nicht! Wenn ein Angreifer dadurch z.B. das Datenbank-Passwort herausfindet, kann er auf die Datenbank zugreifen, egal welcher User für die Ausführung des Webservers und PHP genutzt wird. Ebenso kann ein Angreifer bei Erlangung von Schreibrechten beliebige Malware auf der Website plazieren, egal mit welchem User das im Einzelfall erfolgt. -- Arno Welzel https://arnowelzel.de