ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов.



On Fri, Nov 25, 2011 at 10:58:32AM +0400, Dmitry E. Oboukhov wrote:
> > Собственно, уже не в первых раз, вижу
> > что как-то, через nginx читают файлы
> > других пользователей (php файлы, etc), чмод
> > которых >=644. Как именно, пока не знаю.
> > Тут
> > хттпs://damagelab.org/index.php?showtopic=22153&view=findpost&p=126003
> > багу продают за 700$
> 
> > Интересны варианты решения. Вариант
> > расставлять всем чмод в принудительном
> > порядке не очень устраивает. Какие
> > будут варианты? Судя по всему, нужно
> > ковырять исходник.
> 
> > Posted at Nginx Forum: 
> > http://forum.nginx.org/read.php?21,218970,218970#msg-218970
> 
> Скорее всего симлинки.
> 
> У апача ЕМНИП есть опция (не )?ходить по симлинкам.
> Возможно надо такую же в nginx?

http://httpd.apache.org/docs/2.2/mod/core.html#options

FollowSymLinks
SymLinksIfOwnerMatch

   This option should not be considered a security restriction,
   since symlink testing is subject to race conditions that
   make it circumventable.

Отсюда возникает вопрос: имеет ли смысл тестировать каждый элемент
пути при каждом запросе, если это не даёт 100% гарантии ?


-- 
Igor Sysoev

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.