www.revido.de

[calypsianer]

Derzeit läuft Mambo leider nur sehr eingeschränkt mit Safemode off. Es gibt zwar einen Safemodepatch für Mambo, aber damit läuft es nur sehr eingeschränkt...
Inwieweit mit Mambo grundsätzlich ein Sicherheitsrisiko mit "Safemode off" besteht - kann ich nicht abschätzen. Ich habe gelesen das es zukünftig Versionen von Mambo geben soll bei denen der "Safemode off" bleiben kann...

Ich finde es sehr bedenklich, ein Angebot zu machen, den Safemode abzuschalten, wenn, so wie ich vermute, mod_php im Einsatz ist. Das Abschalten des Safemodes bewirkt, dass die Scripte direkt unter dem Apache-Benutzer laufen und so in der Regel Tür und Tor für weitere Angriffe geöffnet wird.

 

[Arne Buchwald]

Hallo calypsianer,

mein Kommentar bezgl. safe_mode ist so zu verstehen, dass du eine Serverarchitektur so aufbauen kannst, dass du bedenkenlos den safe_mode off stellen kannst (ihn grundsätzlich NICHT benötigst), wenn du PHP anders einbindest als es leider 90% aller Hoster tun.

Wenn du auf einem Shared-Hosting-Server mit deinem Webspacepaket liegst und andere Accounts unter "Safe_mode = Off" in Kombination mit mod_php-Einbindung betrieben werden, können alle deine Daten sehr leicht ausgelesen und auch manipuliert werden ...

Wie gesagt, PHP kann auch als CGI in die Serverarchitektur implementiert werden, so dass auch die PHP-Scripte unter einem eigenen Kundenaccount laufen, so dass jeder Kunde auch tatsächlich nur in seinem Verzeichnis Lese- und Schreibrechte besitzt und andere Kundenverzeichnisse gesperrt sind.

Wenn du Interesse an einer solchen sicheren PHP-CGI-Umgebung hast, schick' mir deine Anforderungen doch einfach mal unverbindlich als PN / Email, so dass ich dir ein Angebot zukommen lassen kann.