Добавлены профессиональными переводчиками и компаниями и на основе веб-страниц и открытых баз переводов.
normalerweise werden einige einträge in der konfigurationsdatei des webservers benutzt (apache:
Информационнася часть url после названия приложения php / secret / doc.html обычно используется для задания файла, который будет открыт и интерпретирован приложение cgi. В общем случае для перенаправления запросов вида http: / /my.host / secret / script.php интерпретатору php используются директивы конфигурации web-сервера (к примеру, action в apache). При такой настройке, сервер сначала проверяет разрешения на доступ к данной директории / secret, и только после создает перенаправленный запрос http: / /my.host / cgi-bin / php / secret / script.php. К сожалению, если запрос уже дан в вышеприведенной форме, сервер не выполняет никаких проверок на право доступа к файлу / secret / script.php, выполняя данную проверку только для файла / cgi-bin / php. Таким образом, любой пользователь c доступом к / cgi-bin / php может получить доступ к любому защищенному документу на сервере.
der grund: diese funktion funktioniert nur, wenn php als modul für apache kompiliert wurde.
Замечание: В php 4.3.0 функция getallheaders() стала псевдонимом для функции apache_request_headers(). Соответствующим образом, она была переименована. Это связано с тем, что эта функция работоспособна только в том случае, если php был собран в качестве модуля apache.
wir bräuchten daher eine checkliste, wie man seinen apache absichert, wenn du ihn für versteckte dienste nutzen willst.
Может ли кто-нибудь составить список действий требуемых для безопасного использования apache как скрытого веб-сервиса?
die ausweitung der benutzerrechte für apache auf root ist sehr gefährlich, und kann dem gesamten system schaden, denn mit sudo, chroot, oder anderwärtig als root zu arbeiten sollte niemand anders als den sicherheitsprofis überlassen werden.
Установка для apache разрешений администратора (root) очень опасна для системы в целом. Те, кто не является специалистами по безопасности, в данном случае должны избегать любых операций вроде "sudo "или "chroot".
sie können sich dagegen mit apache authentifizierung schützen, oder ein eigenes zugangsmodell unter verwendung von ldap, .htaccess dateien, etc. entwerfen, und diesen code als teil ihrer php skripte einbinden.
При использовании php, как apache-модуль, данный модуль получает все права и разрешения apache (обычно, права пользователя "nobody", т.е. "отсутствующего "пользователя). Это вносит некоторые сложности в систему безопасности и авторизации. К примеру, если php используется для обращения к базе данных, то в случае отсутствия встроенного контроля доступа в базе данных ее придется сделать доступной для пользователя "nobody". В этом случае скрипт злоумышленника может получить доступ на чтение и изменение базы данных даже без указания имени пользователя и пароля. Также возможно, что сетевой червь проникнет на страницу администратора и уничтожит все ваши базы данных. Можно защититься от этого путем введения авторизации в apache, или разработав собственную модель доступа с использованием ldap, файлов .htaccess (и др.) и использовать этот код, как часть ваших программ на php.