Ajd posto ste krenuli da mi drzite vakelu, da se "preciznijem izrazim":
Problem 1: Bilo koji web sajt koji ima cache ili menja neke fajlove (tokom instalacije, snima config fajlove, menja .htaccess), mora da da apachu +w privilegiju na tom diru/fajlu (obicno se user apache doda u user group). To automatski znaci da svaki korisnik moze da pise tamo. Ovo izmedju ostalog pogadja vecinu Wordpress konfiguracija sa default setinzima i ukljucenim cachom (sto mislim da vise nije po defaultu, ali bilo je dugo vremena)..
Problem 2: U setupu koji ne ukljucuje chroot, apache mora da ima read pristup svim fajlovima koji se koriste iz php-a, sto znaci da svaki korisnik na sistemu moze da procita koj vam je sifra za DB, samo ako zna gde da pogleda
Na sistemima sa vise korisnika chroot je obavezna stvar, to je bila poenta...
__________________
Leadership is the art of getting people to want to do what you know must be done.
Poslednja izmena od ivanhoe : 18. 03. 2008. u 19:47.
|