[Postfixbuch-users] OT: Squirrelmail: Welche Files nach Installation l?schen?

Peer Heinlein p.heinlein at heinlein-support.de
Do Aug 10 14:42:20 CEST 2006 

Am Donnerstag, 10. August 2006 13:32 schrieb Hannes H.:

> Es kann niemand x-beliebige Programme auf meinem Server ausführen.
> Aber sobald ich Squirrelmail-Paket auf meinen Server kopiere ist es
> kein x-beliebiges Script sondern bewusst installiert, auf dass es
> User nutzen (ausführen) können.

Ein Perl-Script *ist* ein x-beliebiges Programm.

Das ist nicht PHP, was durch den Interpreter geht, sondern ein direkt 
als CGI oder über PHP als system(), exec() etc. aufrufbar.

Verwechsele nicht PHP-Script und Perl-Script. Völlig verschieden.

> Siehe oben, es ist nicht möglich.

Dann kannst Du es auch liegen lassen, weil es ja nicht ausführbar ist.

> Niemand kann auf meinen Server die Scripte laden, ohne dass er die
> Accountdaten eines Unix-Users kennt.

Das setzt voraus, daß alle Deine Nutzer sauber PHP-Programmieren. Halte 
ich für utopisch.

Darum muß man in der Sicherheitsfrage davon ausgehen, DASS es geht, weil 
man nicht jeden User-Code auditieren kann. Also muß man den Server so 
konfigurieren, daß es keine systemweiten Probleme verursacht, wenn ein 
Script hochgeladen wird. Dazu reicht eine fehlende Eingabevalidierung 
in irgendeinem PHP-Script -- und die WIRD es geben.

Sobald Du normalen Code normaler User hast, halte ich die Aussage von 
"Niemand kann" für sehr gewagt und im Alltag ständig widerlegt.

> Ich denke, du hast meine Frage völlig falsch verstanden. Mein
> Webserver *ist* richtig konfiguriert und ich habe ausreichend
> Erfahrung um das sicherzustellen. Da ich aber mit Squirrelmail noch
> *keine* Erfahrung habe, wollte ich wissen, welche Dateien potentiell
> gefährlich sind und daher geschützt werden sollten. Was war daran
> falsch oder nicht zu verstehen?

Was hat es mit Squirrelmail zu tun? Es geht um die Frage, ob ein 
Aufrufer ein Perl(!)-Script starten (!) kann.

Das hat nichts mit Squirrelmail zu tun. Gar nichts.

Mit freundlichen Grüßen

Peer Heinlein

-- 
Heinlein Professional Linux Support GmbH
Akademie: Linux - Support - Hosting

http://www.heinlein-support.de

Mehr Informationen über die Mailingliste Postfixbuch-users