Hallo, Am Samstag, den 06.08.2005, 11:51 +0200 schrieb Wilhelm Kutting: > Joerg Rossdeutscher schrieb: > > Also, merkwürdigerweise: In Mozilla/Client den Cache löschen, wenn > > php/Server frisch installiert wurde. > > Danke Ratti, das war es, aber merkwürdig ist das schon und auch eine > Sciherheitslücke wenn ich bedenke dass man so evt. clientseitig den > apache überlisten kann den Skriptcode rauszugeben! > Das kann doch eigentlich nicht sein. Ja, merkwürdig - aber keine Sicherheitslücke. Es ist nicht möglich, den Apache zu beeinflussen. Es ist nur der lokale Mozilla, der statt der aktuellen Daten die alten aus seinem Cache anzeigt. Dort können sie wiederum nur deswegen sein, weil man früher seinen Apache falsch konfiguriert hatte. Mozilla zeigt also nur den "Schnappschuss" eines alten, selbst verursachten "Sicherheitslochs" auf dem Apache. Also alles gut. Übrigens sollte man beim Arbeiten mit php immer so programmieren, dass der Code ruhig angezeigt werden, ohne das Sicherheitslücken entstehen. Es kann immer mal sein, dass der php-interpreter crashed, und sei es nur wegen Hardwareschadens. Also nicht: $password="topsecret"; sondern include "/home/ratti/mein_passwort.php"; Selbst, wenn der Interpreter Klartext ausspuckt, liegt diese Datei ausserhalb der Reichweite des Webservers. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Attachment:
signature.asc
Description: This is a digitally signed message part