[gull] Php safe mode, c'est valable, selon vous?

fischer at ludwin.net fischer at ludwin.net
Tue Jul 5 06:49:02 CEST 2005


>    scripts mod_perl ou mod_php
>       tous les scripts tournent sous l'UID du serveur Apache (p.ex.
> www-data) dans ce cas, le client Y peut aller lire les fichiers du
> client X et donc obtenir le mot de passe d'accès à sa base de
> données. SECURITE DESASTREUSE EN MULTI-UTILISATION

Très franchement, j'ignore ce qu'est l'IUD. Ce n'est donc pas moi qui
risque de cracker les mots de passe de mes voisins en hébergement
mutualisé. Cela d'autant moins que je n'ai qu'une accès ftp. En
hébergement mutualisé, il est très rare que les utilisateurs aient un
accès telnet, ou shell.

Vous personnellement, si vous avez un compte mutualisé avec accès ftp sur
un répertoire utilisateur donné, sur un serveur disposant de php en mode
non safe, vous pouvez trouver les mots de passe de vos voisins, puis le
mot de passe root de la machine? À cause de ce IUD, qui est le même pour
tous?

> contre, il existe des solutions alternatives, comme tourner votre
> serveur WWW dans une machine virtuelle (UML ou VLS) avec son propre
> processus Apache sous votre contrôle entier (vous serez root dans votre
> machine virtuelle). La plupart des hébergeurs pas trop bons marchés ont
> un service de
> support compétent et pourront vous aider.

Oui, ça, ça m'intéresse. Quelle est la différence entre UML et VLS?
Quelqu'un connaît un boîte fiable offrant un tel service?

Ludwin





More information about the gull mailing list