Hello AleXXX,
Friday, April 27, 2007, 5:06:02 PM, you wrote:
Чушь какая.... это же интернал урл.....
с какого вдруг он станет показывать в etc?
Ну а где тогда дыра?
Дыра в том, что клиент апача может выдавать редирект в какой-нибудь "не
тот" internal локейшен. Но, имхо, очень надуманная проблема. Возможно,
еще есть какие-то специфичные конфигурации нгинкса, где это может
навредить. Больше идей нет.
On Fri, 27 Apr 2007 16:53:53 +0700
"Denis F. Latypoff" <latypoff@xxxxxxxxx> wrote:
DFL>> Hello Dmitriy,
DFL>>
DFL>> Friday, April 27, 2007, 4:29:04 PM, you wrote:
DFL>>
DFL>> > Vasiliy Tolstov пишет:
DFL>>
DFL>> >>> Есть и модуль для этого
DFL>> >>>
DFL>> >>
DFL>> >> К сожалению учитывая дырку в безопасности при использовании данного
DFL>> >> экстеншена - все же не хочется его ставить :(
DFL>> >>
DFL>>
DFL>> > Если честно, я до конца сам не понял, в чем там потенциальная дырка,
DFL>> > но на всякий случай решил попугать ;)
DFL>>
DFL>> Дырка в том, что на масс хостинге пользовательский скрипт может
DFL>> выдвавть в заголовке X-Accel-Redirect: /etc/passwd ;) Результат будет
DFL>> в зависимости от того, как настроен nginx.
