Russian Apache mailing list archive (apache-rus@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: [apache-talk] SSI & security

To: Ilya Basalaev <apache-talk@xxxxxxxxxxxxx>
Subject: Re[2]: [apache-talk] SSI & security
From: void@xxxxxxx
Date: Thu, 11 Oct 2001 17:45:57 +0400
In-reply-to: <Pine.LNX.4.32.0110111841570.3777-100000@xxxxxxxxxxxxxxxx>
References: <Pine.LNX.4.32.0110111841570.3777-100000@xxxxxxxxxxxxxxxx>

Приветствую, многоуважаемый All !

>> > > --------------------------------------------
>> > > ...... Поймите, на боевом сайте и SSI не будет - все это
>> > > проламывается просто на счет раз.
>> > > --------------------------------------------

похоже, данные слова сказаны не слишком осведомлённым человеком. Любой
интерактив пользователя с системой влечёт за собой возрастание рисков,
любая автоматизация представляет собой процесс,когда разработчик
доверяет системе процесс выполнения какой-то работе, и с некоторой
вероятностью считает, что пользователь не сможет развернуть ход
штатной работы на рельсы, не предусмотренные разработчиком ? системе,
естественно, всё равно - что <!--#include file=" - ./content.html или
/some/file/out/docroot.. после этого игра с Apache Server Side
Includes, которые ходят из-под nobody или из-под user'a через suexec
оканчивается и переходит
в стадию игры с системой - пока, правда, на уровне сбора информации а
не на уровне отдачи директив, если не забыли поставить IncludesNoEXEC
на папку с ssi.. если кривы руки у админа, то "товарищ ксакеп"
наберётся информации о том, что ещё стоит на этой системе, какие
сервисы бегают от рута, какие у них конфигурации и тут уже остаётся
только богу молится чтобы они свежими оказались и ксакеп пока с
багтрака эксплоитов не накачал.. а если по уму сделано, и админ
подстраховался от тупого веб-писателя, то ксакеп будет ползать по
jail(8) не понимая что с ним происходит и куда он вообще попал.. в
общем, универсального лекарства и однозначности в этих вопросах не
существует принципиально - есть лишь деза и бесценный опыт обучения на
чужих ошибках да теория, которая почему то с практикой не сходится ни
на йоту.


Безопасность скорее есть зло, которое при стремлении показателя
"защищённость" к бесконечности исключает возможность не только
применения SSI, но и вообще подключения системы в электророзетку.
Оценивайте важность объекта - в зависимости от этого придётся либо
запретить CGI/SSI/perl/вообще весь скриптинг в контексте /, либо
находить разумный компромисс.


.d

=============================================================================
=               Apache-Talk@xxxxxxxxxxxxx mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

Follow-Ups:
- Re: [apache-talk] SSI & security
  - From: Eugene Grosbein

References:
- Re: [apache-talk] SSI & security
  - From: Ilya Basalaev

Prev by Date: Re: [apache-talk] SSI & security
Next by Date: Re: [apache-talk] SSI & security
Previous by thread: Re: [apache-talk] SSI & security
Next by thread: Re: [apache-talk] SSI & security
Index(es):
- Date
- Thread

Спонсоры сайта:

[ Russian Apache ] [ Как это работает ] [ Рекомендации ] [ Где взять ] [ Как установить ] [ Как настроить ] [ Статус и поддержка ] [ Краткий обзор ] [ FAQ ] [ Список рассылки ] [ Благодарности ] [ Поиск по серверу ] [ Powered by Russian Apache ] [ Apache-talk archive ]

"Russian Apache" includes software developed by the Apache Group for use in the Apache HTTP server project (http://www.apache.org/) See Apache LICENSE. Copyright (C) 1995-2001 The Apache Group. All rights reserved. Copyright (C) 1996 Dm. Kryukov; Copyright (C) 1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.