SPECS: cgiirc.spec - simplified; are you sure about http:http owne...

Jacek Konieczny jajcus w bnet.pl
Pią, 21 Sty 2005, 08:59:56 CET


On Thu, Jan 20, 2005 at 09:37:17PM +0100, Marek Ciesielski wrote:
> On Thu, 20 Jan 2005 19:47:40 +0100, you wrote:
> >> +%attr(755,http,http) %{cgidir}/%{name}/*.cgi
> >
> >No właśnie - po co użytkownik http jest właścicielem tych skryptów?
> 
> hm... takie prawa miał zanim zacząłem grzebać...
> W docach cgiirc nie znalazłem zaleceń co do właściciela tych plików
> wykonywalnych.

Takie prawa są po prostu niedopuszczalne! Gdy użytkownik http może
zapisywać do wykonywanych plików, to już o jakimkolwiek bezpieczeństwie
można zapomnieć. Użytkonik http nie powinien mieć praw zapisu do żadnych
plików poza tymi które trzymają jakiś jego stan.

Pozdrowienia,
	Jacek




Więcej informacji o liście dyskusyjnej pld-devel-pl