Re: [OT] Was mache ich gegen unsicheren Webhoster?
Am Tue, 26 Aug 2008 20:23:24 +0200
schrieb Christian Knorr <debian-mailingliste@online.de>:
> Nabend zusammen,
> ich habe einen PHP/MySQL-Account bei einem Hoster mit einer Domain
> und sonstigen, üblichen Dreingaben.
> Nun habe ich bemerkt, dass ich über PHP sämtlichen Code mit den
> Benutzerberechtigungen des Webservers ausführen kann.
> Sprich: ich habe lesenden (und wenn rwxrwxrwx auch schreibenden)
> Zugriff auf alle öffentlichen Inhalte jeder (!) dort gehosteten
> Homepage (weit über 400 Stück).
> Öffentlich bedeutet das, was der Webserver auch lesen kann/muss.
> Demnach kann ich mir auch den Inhalt einer PHP-Datei ausgeben lassen.
> Meine Software (nicht OpenSource) ist damit alles Andere als sicher.
>
> Damit nicht genug: lese ich die Konfigurationsdatei einer
> willkürlichen Joomla Installation aus (die ja nicht selten ist) kann
> ich mich mit diesen Daten über das phpmyadmin in die fremde Datenbank
> einwählen, und hätte dann auch schreibenden Zugriff! Ich kann so
> hunderte von Benutzeraccounts auslesen. Das natürlich unbemerkt vom
> Betreiber des Joomlas.
>
> Wie würdet Ihr handeln? Klar bin ich mir im Klaren dass das was ich
> gemacht habe verboten ist, habe trotzdem eine Mail zum Hoster
> geschrieben. Bekam eine Rückmeldung von wegen AGB usw.
>
Hallo,
schreibe die Kunden an, wenn Du schon über deren Datenbanken
lesend verfügst. Soll die sich mit dem auseinander setzten wenn "es"
nur mit den AGBs wedelt. Wenn das nicht hilft mach es öffentlich. Du
kannst ja nichts dafür das der Anbieter schlampig arbeitet und dir
alles so offen hinlegt.
Ist ja wie die geheimnummer auf die EC - Karte zu schreiben...
Gruß
Reply to: