Re: pld na hosting PHP - jak rozdzielacie klientów?
Jacek Osiecki
joshua w hybrid.pl
Pon, 15 Gru 2008, 10:59:58 CET
On Sun, 14 Dec 2008, Piotr Pawłow wrote:
> On piątek, 12 grudnia 2008, Jacek Osiecki wrote:
>> Sure? Jeśli znajomość zgadnięcia klucza md5 jest konieczna by wejść do
>> jakiegoś katalogu, to równie dobrze można za "security by obscurity" uznać
>> zabezpieczenie hasłem - bo przecież wystarczy je zgadnąć...
> Ale czy faktycznie trzeba zgadywać nazwę katalogu? Może ją wyciągnąć
> z /proc/$pid/fd procesu "sąsiada"? Albo zrobić strace na procesie "sąsiada"?
Biorąc pod uwagę że:
- nie ma w ogóle dostępu shellowego dla userów
- jest grsecurity które nawet userom shellowym nie daje dostępu do
/proc/cudzypid, nie mówiąc o php,
- jest ustawione open_basedir na katalog domowy usera
to chyba nici ze strace'a i innych cyrków z /proc
> A jeśli nawet trzeba zgadywać, to można spróbować wykorzystać fakt, że próba
> wejścia do katalogu może zająć różną ilość czasu zależnie od tego ile znaków
> pasuje, a tym samym znacznie ograniczyć ilość potrzebnych prób.
Nie sądzę by różnice - jeśli w ogóle są - były na poziomie mierzalnym dla
PHPa, który w końcu jest językiem interpretowanym...
Pozdrawiam,
--
Jacek Osiecki joshua w ceti.pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wyrwigroszem 2006
Więcej informacji o liście dyskusyjnej pld-users-pl