ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: ?????? htaccess



Здравствуйте, Уважаемый(-ая, -ое) Alexander Bodnarashik!

>> Поясните, пожалуйста, что вы имеете
>> ввиду про "дырявость" директивы open_basedir.

AB> safe_mode считается устаревшей.
AB> В ченьджлоге PHP чуть ли не каждый второй релиз содержит "fixed
AB> open_basedir" (утрирую конечно, но количество фиксов указывает на
AB> ненадежность фичи).
AB> https://rdot.org/forum/showpost.php?p=17487
AB> Включенный open_basedir мешает нормальной работе curl
AB> (CURLOPT_FOLLOWLOCATION cannot be activated when safe_mode is enabled
AB> or an open_basedir is set), который маст хев в большинстве типичных
AB> инсталляций.

У меня всегда включена open_basedir, постоянно пользуюсь cURL, никаких проблем
нет. Пользоваться надо уметь, IMO.

AB> "Небезопасный" код в этом плане в сторонних (да и коробочных)
AB> расширениях к пхп сводит на нет все усилия и мнимую безопасность.

Пусть это будет на совести тех, кто такой код пишет.
Связка +open_basedir -Follow Symlinks достаточно надёжна.
За последний год я могу припомнить ну два раза, когда её правили.
Большинство "фиксов" относится к режиму safe_mode, который я вообще не
понимаю, зачем нужен. Похоже, люди его используют по инерции.

l> не слишком уж типично использование cURL extension в принципе, IMHO.

Вы заблуждаетесь. Это один из самых надёжных и производительных способов
получения внешних данных из HTTP/FTP источников.

А вот давать доступ из веб-окружения к шеллу - это как раз таки чрезвычайно
небезопасно.

P.S.
Засим сворачиваемся, ибо дикий оффтопик.


-- 
С уважением

    Andrey Repin (hell-for-yahoo@xxxxxxxx) понедельник, 26.09.2011, <04:43>

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.