Hi!
On 17-Jan-00 Stanislav Malyshev a.k.a Frodo wrote:
>>> > Занимался - Rasmus Lerdorf.
>>>
>>> Он женился и проект под вопросом теперь ;-)
>
> Ну, кроме Расмуса, слава Богу, там есть еще много кого :) Он уже давно там
> далеко не главный, вопреки распространенному мнению. Вопрос, что сейчас в
Да я знаю...
> основном занимаются вылавливанием багов и крешей, и на переписку security
> никого не хватает. Возможно, после 4.0 хватит :)
Во-во... А там пахать и пахать... Тьфу.
>>> Я не сколько от усеров защищаюсь, сколько усеров друг от друга.
>>> Чтоб не подглядывали... ;-)
>
> Ну, от этого как раз safe_mode неплохо защищает, вроде. Во всяком случае,
> я рабочих exploits в последних версиях не находил.
Оно НЕ УДОБНО мне.
Я НЕ хочу прописывать <directory..> на каждый усерский каталог ибо их несколько
тысяч. А сделать бы как-то через rewrite бы как бы?
Можно конечно пропатчить слегка safe_mode.c/file*.c на тему где используется
doc_root И добавить еще проверку на выход за getenv("PHP_DOCUMENT_ROOT")...
Но что-то меня смущает:
1. Может ли усер испортить PHP_DOCUMENT_ROOT из программы?
Себе или другому усеру.
2. Есть ли еще какие дыры в передаче какой нежной конфигурации через env?
SKiller
--------------------------
Sergei Keler
WebMaster of "ComSet"
E-Mail: skiller@xxxxxxxxxx
http://www.comset.net
--------------------------
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
