Php 5.3.x

[Derevko]

Poi non capisco una cosa: perchè non vi piace questo basedir?

Per quanto mi riguarda, non è che non mi piace basedir, non mi piace mod_php e basedir ha senso solo con mod_php

[GrG]

Io, invece, ho mica capito cosa vuol dire che tolgono il safe_mode.

Non è più impostabile, e ok. Ma è attivo di default? E' disabilitato di default? E' sostituito da altro?

[guest]

Per quanto mi riguarda, non è che non mi piace basedir, non mi piace mod_php e basedir ha senso solo con mod_php

Non ha senso solo con mod_php, per i motivi di cui sopra.
Partendo dal presupposto che la sicurezza non è mai troppa, io lo metto anche con suphp/fastcgi

Così un malintenzionato prima di venire a rompere le b@lle a me deve prima bucare openbasedir, poi si ritroverebbe comunque segregato tra i suoi scarsi permessi e magari con un bel grsec

[Antonio]

cut...
E poi, che fastidio vi da open_basedir?
Se c'è, tanto meglio. Meglio una features in più, che una in meno, quando si parla di sicurezza. (e non sto di certo dicendo che non bisogna sistemare il sistema "a monte" anzi, è la prima cosa da fare.
Ma come surplus io attivo sia open_basedir che exec_dir)

cut...

Poi non capisco una cosa: perchè non vi piace questo basedir?

Dal mio precedente post:

Con questo volevo dire che se anche togliessero open_basedir, non sarebbe un grosso problema se chi si occupa della gestione sa il fatto suo

"Se anche togliessero" non significa spero lo tolgano perché non serve a niente

Per quanto riguarda l'ftp, sinceramente, non sapevo che si potessero limitare i file in 777. Non ci ho mai guardato, buono a sapersi.

Solitamente è la direttiva umask, che ti permette per "sottrazione" di impostare i permessi dei file caricati.

PS: Calmati, è sabato, rilassati

[guest]

Solitamente è la direttiva umask, che ti permette per "sottrazione" di impostare i permessi dei file caricati.

No, caro.
la umask setta i permessi di default, non i massimi impostabili.

nulla vieta ad un utente di fare un bel chmod indipendentemente dalla umask

PS: Calmati, è sabato, rilassati

Son calmissimo, se non fosse per una VM che non parte.

[Derevko]

Partendo dal presupposto che la sicurezza non è mai troppa, io lo metto anche con suphp/fastcgi

Sì, male non fa.
Tutto il contrario invece per safe_mode che invece non ha proprio ragione di esistere

[guest]

Tutto il contrario invece per safe_mode che invece non ha proprio ragione di esistere

Quoto, anzi, fa più danni di quelli che risolve.

[Antonio]

No, caro.
la umask setta i permessi di default, non i massimi impostabili.

nulla vieta ad un utente di fare un bel chmod indipendentemente dalla umask

Son calmissimo, se non fosse per una VM che non parte.

Quindi parlavi di modificare i permessi dopo che l'utente ha caricato il file e non quando carica lo stesso... in quel caso, ripeto, la colpa è dell'ut(e|o)nt(e|o) quindi:
- gli fai presente che non deve farlo con una faq
- con uno script in crontab fai un check dei permessi per coloro che hanno la testa dura

PS: Lo ripeto, non ho niente contro open_basedir, ma se non ci fosse non cascherebbe il mondo

[GrG]

(qualcuno mi risponde? O_O)

[Antonio]

(qualcuno mi risponde? O_O)

Togliendo la possibilità di settarlo nel php.ini, di fatto, anche se le funzioni di safe_mode fossero presenti nell'engine, sarebbero disabilitate (come lo sono di default già adesso): PHP: Security and Safe Mode - Manual

[Derevko]

Non è più impostabile, e ok. Ma è attivo di default? E' disabilitato di default? E' sostituito da altro?

È deprecato, ma c'è. Verrà rimosso in php6. Ma lo si sapeva già da tanto. Da molto tempo gli sviluppatori non correggono più l'infinità di bug che gli utenti segnalano, e loro stessi hanno ammesso che la sua implementazione è stato un grosso errore.

[GrG]

PErò il check sugli uid era molto utile. Spero almeno questo rimanga.

[guest]

PErò il check sugli uid era molto utile. Spero almeno questo rimanga.

A che pro?
Il check sugli uid lo fai in automatico con suphp/fastcgi.

L'unica cosa utile del safe mode era l'exec dir che adesso bisogna implementarlo con una password.

EDIT: una password? Ma cosa dico? Volevo dire una patch.

[GrG]

Il check sugli uid lo fai in automatico con suphp/fastcgi.

? cioè?

Puoi definire i permessi ma vai in un tunnel senza uscita. Non puoi più dire "Tu giorgio non tocchi in nessun modo i files di alessandro".

[guest]

A no?
Quindi:

Codice:

touch file_ale
chown ale:ale file_ale
chmod 700 file_ale

touch file_giorgio
chown giorgio:giorgio file_giorgio
chmod 700 file_giorgio

non fa quello che dici vero?