de.comp.lang.php.* FAQ

29.6. Wie schütze ich Sessiondaten zusätzlich?

Keywords: Session | Schutz | Host | virtuell | Sicherheit

Antwort von Daniel T. Gorski

Laufen auf einer Maschine mehrere virtuelle Hosts (vhosts), z.B. bei einem Hoster, muss der verantwortliche Administrator dafür Sorge tragen, dass - wenn überhaupt - der Safe-Mode nur für 100% vertrauenswürdige vhost-Nutzer ausgeschaltet werden darf ( safe_mode =Off). Dies würde - neben anderen systemnahen Eingriffen - erlauben, dass ein Script von einem anderen Vhost folgenden Code ausführen darf:

<?php
    // Inhalt von /tmp löschen
    system("rm -rf /tmp");
?>

Dies hätte in der PHP4-Standardeinstellung (aber mit safe_mode =Off) zufolge, dass alle Sessiondaten anderer Benutzer gelöscht worden wären. Gegebenfalls sollte man sich mit einer entsprechenden Anfrage an seinen Hoster wenden.

Eine andere Möglichkeit dies zu verhindern wäre es, für jeden Vhost eine andere Einstellung des session.save_path -Parameters zu wählen, wenn Sessiondaten in Files gespeichert werden.

Valid HTML 4.01! Valid CSS!

29.6. Wie schütze ich Sessiondaten zusätzlich?
http://www.php-faq.de/q/q-sessions-schutz.html
Archiv der de.comp.lang.php-FAQ Dies ist eine Archivseite von 2008 und wurde seitdem nicht geändert. Das dclp-FAQ-Team