Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Sehwolf registrierter User
Anmeldungsdatum: 26.03.2006 Beiträge: 10077
|
(#741377) Verfasst am: 08.06.2007, 13:44 Titel: phpsafemode deaktivieren |
|
|
Richte grad einen Blog mit Wordpress ein.
Müsste den phpsafemode von meinem Hoster deaktivieren lasse, 1. um Uploads und 2. direkte Edit von Seiten via Webinterface zu ermöglichen.
Welches Risiko, welche Gefahren bestehen dabei.
Wozu ist dieser phpsafemode eigentlich gut?
Danke
|
|
Nach oben |
|
 |
kolja der Typ im Maschinenraum

Anmeldungsdatum: 02.12.2004 Beiträge: 16631
Wohnort: NRW
|
(#741494) Verfasst am: 08.06.2007, 15:31 Titel: |
|
|
Der Safe Mode schränkt einige PHP-Funktionen ein und dient dem Schutz des Webservers vor fehlerhaften oder böswilligen PHP-Scripten. Du riskierst also nichts, aber Dein Webhoster.
http://de3.php.net/features.safe-mode
_________________ Hard work often pays off after time, but laziness always pays off now.
|
|
Nach oben |
|
 |
Poldi Bin Daheim
Anmeldungsdatum: 16.07.2003 Beiträge: 4559
Wohnort: Bavarian Congo
|
(#741534) Verfasst am: 08.06.2007, 16:40 Titel: Re: phpsafemode deaktivieren |
|
|
Sehwolf hat folgendes geschrieben: | Richte grad einen Blog mit Wordpress ein.
Müsste den phpsafemode von meinem Hoster deaktivieren lasse, 1. um Uploads und 2. direkte Edit von Seiten via Webinterface zu ermöglichen.
| Beides kann man auch unter SaveMode machen ... nur eben nicht mit WordPress
Aber es stimmt schon, SaveMode is ne Pest ... Zitat: |
Welches Risiko, welche Gefahren bestehen dabei.
| Kommt auf die Software an, die du verwendest (mit WordPress kenn ich mich nu ned so aus) ist die SOftware sicher, ist der SaveMode so ziemlich überflüssig. Zitat: |
Wozu ist dieser phpsafemode eigentlich gut? |
Wie kolja schon geschrieben hat, dient das ganze dem Schutz des Servers, da man, z.B. bei schlecht programmierten Skripten, durch Hintertürchen Schadcode einschleusen kann, mit dem entweder der Server zu irgendwelchen dubiosen Dingen mißbraucht werden (z.B. Spammen, DDOS-Attacken, o. ä.) oder der Server direkt angesägt bzw, gehackt werden kann.
Wobei SaveMode nicht gleich SaveMode ist, da man dabei einige Dinge getrennt einstellen kann (Zugriffsrechte, Dateisystem ect.) .. viele Hoster machen sich da aber keine große Mühe, sondern stellen, vorallem bei den billigen Tarifen, den SaveMode auf die höchste Stufe, dann geht eben nix mehr ..
_________________ gG,
Poldi
Doch leider kanns gefählich sein, den Satan in dir zu verstehen.
Jeder Mensch ein Sünderschwein, Oh christliches Vergehen.
Die Trennung zwischen Gut und Bös die wirst du niemals finden
nur leider kanns gefährlich sein das den Pfaffen auf die Nasen zu binden.
|
|
Nach oben |
|
 |
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#741536) Verfasst am: 08.06.2007, 17:13 Titel: Re: phpsafemode deaktivieren |
|
|
Poldi hat folgendes geschrieben: | Wie kolja schon geschrieben hat, dient das ganze dem Schutz des Servers, da man, z.B. bei schlecht programmierten Skripten, durch Hintertürchen Schadcode einschleusen kann, mit dem entweder der Server zu irgendwelchen dubiosen Dingen mißbraucht werden (z.B. Spammen, DDOS-Attacken, o. ä.) oder der Server direkt angesägt bzw, gehackt werden kann. |
Der Safe-Mode ist ja ganz nett, aber für viele Web Applikationen zu restriktiv. Zumal der UID-Check in meinen Augen wenig sinnvoll ist. Als praktikabel erweist sich der Safe-Mode zusammen mit
Wer gezwungen ist (oder darauf nicht verzichten will), unsicher programmierte (populäre) Webapplikationen einzusetzen, sollte dies wenigstens mit FastCGI tun. Hier kann man jede Webinstanz unter einer eigenen UID, eigenem eigenen (individuell kompilierten) PHP-Binary und eigenen PHP-Einstellungen laufen lassen. D.h. im schlimmsten Fall wird der Server mit den Zugriffsrechten dieser UID gehackt. Daneben kann man mit open_basedir und disable_functions den Aktionsradius geackter PHP-Scripte deutlich einschränken. Somit kann man bei einem vernünftig aufgesetzten Internet-Server Webinstanzen effektiv voneinander isolieren. Aber diese Arbeit machen sich Massenhoster in der Regel nicht. Zumal FastCGI Performance-Einbußen mit sich bringt.
Poldi hat folgendes geschrieben: |
Wobei SaveMode nicht gleich SaveMode ist, da man dabei einige Dinge getrennt einstellen kann (Zugriffsrechte, Dateisystem ect.) .. viele Hoster machen sich da aber keine große Mühe, sondern stellen, vorallem bei den billigen Tarifen, den SaveMode auf die höchste Stufe, dann geht eben nix mehr .. |
Daher ist es für anspruchvolle Projekte schon sehr hilfreich, seinen eigenen Server zu betreiben.
|
|
Nach oben |
|
 |
|