joku
Benutzer
- Registriert
- 06. März 2011
- Beiträge
- 6.678
- Reaktionspunkte
- 3
- Punkte
- 164
Das Du es wissen solltest und einfach mal die Suchmaschiene Deiner Wahl befragen.
Passwortsicherheit in Webanwendungen mit Phpass
- Ersteller blueangel1610
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
Hallo blueangel1610,
Bücher und Hardware zum Thema gibt es bei Amazon: Passwortsicherheit in Webanwendungen mit Phpass
Bücher und Hardware zum Thema gibt es bei Amazon: Passwortsicherheit in Webanwendungen mit Phpass
Ok. Check! Recherchiert.
Ich habe nun ein paar Funktionen, welche bei unsachgemäßer Nutzung ein Sicherheitsproblem darstellen deaktiviert.
Dazu habe ich mittels dem vi - editor in der Datei php.ini in Zeile 390 nun die Funktionen 'exec, passthru, phpinfo, popen, proc_open, shell_exec, show_source, system' deaktiviert. Um zu schauen, ob diese Einträge auch übernommen wurden, habe ich die Datei nochmals lesend geöffnet. Einträge wurden übernommen.
Die Funktion phpinfo(); kann ich allerdings noch immer ausführen. Was könnte ich falsch gemacht haben an dieser Stelle?
Ich habe nun ein paar Funktionen, welche bei unsachgemäßer Nutzung ein Sicherheitsproblem darstellen deaktiviert.
Dazu habe ich mittels dem vi - editor in der Datei php.ini in Zeile 390 nun die Funktionen 'exec, passthru, phpinfo, popen, proc_open, shell_exec, show_source, system' deaktiviert. Um zu schauen, ob diese Einträge auch übernommen wurden, habe ich die Datei nochmals lesend geöffnet. Einträge wurden übernommen.
Die Funktion phpinfo(); kann ich allerdings noch immer ausführen. Was könnte ich falsch gemacht haben an dieser Stelle?
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
ich würde ned versuchen Kommandos zu deaktivieren. Es gibt viele Scripte die z.B. exec, passthru oder shell_exec nutzen. Zudem kann man auch mit einem unlink oder einem fsockopen Schweinereien anstellen, um nur zwei zu nennen. Und das sind fkt die du täglich brauchst in PHP. imho ist es der bessere Ansatz via restriktiven openbasedir den Zugriff von PHP zu beschränken, als Funktionen zu verbieten. Zudem ist es bei einen Linux schon so, dass du für die meisten wirklich schlimmen Schweinereien eh root Rechte brauchst, von dem her kann schonmal nicht soviel passieren wenn der Server nicht als root läuft ;-)
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
