PHP-Datei vom Server bekommen

Original von fetzer
Ich hatte früher auf Freehostern des öfteren das Phänomen, dass Dateien bei hoher Serverbelastung einfach ausgegeben, d.h. NICHT geparst, wurden. Dadurch war es möglich, dass man dem Server z.b. während einer DDoS-Attacke Configurations-Dateien entlocken konnte.
Zum Vergrößern anklicken....

hierbei wäre wirklich interessant zu wissen, wie PHP bei entsprechenden Hostern eingebunden war...

mod_php ist ja schön schnell, jedoch laufen dann PHP-Scripte unter dem WebServer-User (bei Debian z.B. www-data)

php-cgi mit mod_suphp bietet die Möglichkeit, PHP unter den Rechten des Kunden laufen zu lassen, erzeugt aber ziemlichen overhead - möglicher Grund für Performance-Probleme

meine Wahl, seit dem ich ispcp als Webserver-AdminPanel kenne:
php-fcgi (soweit ich mich belesen hab in Zusammenarbeit mit mod_suexec) - ist, soweit ich die HowTo's überflogen hab per Hand nicht ganz so einfach einzurichten (wie gesagt: ich verwende es mit ispcp) - aber das Ergebnis lohnt sich: Performance annähernd wie mod_php, Scripte laufen unter Accounts der Benutzer wie bei php-cgi und für jeden vHost ist eine eigene PHP-Version und ne eigene PHP.ini möglich.


@Rente:
erhoff dir aber nicht unbedingt DEN Super-Vortrag, der alle Probleme löst oder so...
das ist ein kleiner 15-Minuten-Vortrag, bei dem berücksichtigt werden muss, dass die Hälfte des Auditoriums noch keine Erfahrung mit PHP hat (und mit Server-Konfiguration auch nicht...)
Es finden daher wahrscheinlich nur die wichtigsten ausgewählten Beispiele an Optionen der PHP.ini Platz und ein kleiner Live-Hack mit RemoteFileInclusion und LocalFileInclusion ist meinerseits vorgesehen (wenn ich das irgendwie in zeitlichen Rahmen bring)

Ich werd zwar die Web-Veröffentlichung vieleicht ein klein wenig ausschweifender machen, als das, was ich in den 15 Minuten unterbringen kann, aber z.B. zum Schutz gegen XSS oder SQL-Injection werde ich in diesem Kontext nicht wirklich tiefgründig kommen (damit könnte man locker allein schon 30 Minuten voll bekommen...)

Ich würde ja gerne auch noch umfangreicher schreiben, aber ich hab eben während meines Studiums auch nur begrenzt Zeit und da sich eh die meisten in der Materie noch überhaupt nicht auskennen, wäre es Energieverschwendung, bis ins kleinste Detail alle Eventualitäten zu behandeln...

EDIT:
Vortrag zum Thema:
http://studium.cs-bergann.de/inet/phpsecurity/
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben