[gull] wsgi, ExecCGI, /var/www, php et de drôles de nouvelles habitudes...
Félix Hauri
felix at f-hauri.ch
Mon Jul 2 17:07:13 CEST 2012
En cherchant des infos sur ``howto apache wsgi'', j'ai d'abord trouvé cela:
http://serverfault.com/questions/91468/how-to-set-up-mod-wsgi-for-python-on-ubuntu
puis, de là, j'ai trouvé:
http://ubuntuforums.org/showthread.php?t=833766
où l'on peut lire:
...
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews ExecCGI
...
Alors je dis que php à déclanché de bien mauvaise habitudes!!!
Je m'explique:
Si ``/var/www'' est un alias du serveur web qui pointe sur ``/'' et que
``/'' (et ses descendants) on l'option ``ExecCGI'', alors un fichier
uploadé (par un quidam) dans ``/var/www/tmp'' sera de fait executable!?
Déjà en php, la sécurisation tient de la gageur, mais alors avec des
trucs comme ça...
A mon avis, il serait plus judicieux d'ajouter le handler
AddHandler cgi-script .cgi
à ``/usr/lib/cgi-bin'' (ou autre ``/usr/local/cgi-bin'') pour créer un
répertoire limité:
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
comme cela se fait (faisait) d'habitude...
Ou alors, 'faudra qu'on m'explique!?
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list