security, informacyjnie

[Blues]

On Thu, 1 Aug 2002, Tomasz Kłoczko wrote:
> > 2. każdy kto ma dostęp rw może podmieniać skrypty w module CVSROOT,
> > które wykonują się np. przy każdym commicie. W ten sposób można uzyskać
> > dostęp przynajmniej do konta "cvs" na serwerzez z repo. Mam nadzieję, że
> > przynajmniej makelog.sh (który podobno wymaga roota do działania) nie
> > jest uruchammiany wprost z repo.
> Nie każdy ma RW. Każdy kto to zrobi jezlei zostanei to wykryte liczyć się 
> musi z konsekwencjami tego co zrobił. KOnsekwencje benad daleko dalsze 
> poza zabranie mu RW. Mozan tu mówić o swego rodzaju "samobójstwie 
> zawodowym" (administratorom się ufa i ufać tzreba .. po czymś takim 
> komukolwiek kto to zrobi zauwafą już nikt nie będzię mógł).

Dlaczego zakładasz, że developer==administrator?
Jest wielu ludzi, którzy są programistami, użytkownikami.

> > 4. Zmieniając zasoby WWW i przestawiając tag CURRENT można uzyskać
> > dostęp do PHP (a więc zarazem do konta "http") na naszym serwerze WWW
> Kontrargumenty do tego są dokałdnie takei samo jak powyżej.

hm... strona to jest nieźle zaniedbana.
Tam jeszcze wisi instrukcja jak zainstalować system. Prowizorką. Właśnie 
jeden człowiek mnie pytał czy aż tak źle jest z instalacją ;)

-- 
---------------------------------
pozdr.  Paweł Gołaszewski        
---------------------------------
CPU not found - software emulation...