Re: [OT] Was mache ich gegen unsicheren Webhoster?

To: debian-user-german@lists.debian.org
Subject: Re: [OT] Was mache ich gegen unsicheren Webhoster?
From: "Dominique H. Schramm (ML)" <lists@schramm.es>
Date: Tue, 26 Aug 2008 21:21:07 +0200
Message-id: <[🔎] 48B457A3.2040508@schramm.es>
In-reply-to: <[🔎] 200808262023.24302.debian-mailingliste@online.de>
References: <[🔎] 200808262023.24302.debian-mailingliste@online.de>

Hi Christian,

Christian Knorr schrieb:
> Nabend zusammen,
> ich habe einen PHP/MySQL-Account bei einem Hoster mit einer Domain und 
> sonstigen, üblichen Dreingaben.
> Nun habe ich bemerkt, dass ich über PHP sämtlichen Code mit den 
> Benutzerberechtigungen des Webservers ausführen kann.
> Sprich: ich habe lesenden (und wenn rwxrwxrwx auch schreibenden) Zugriff auf 
> alle öffentlichen Inhalte jeder (!) dort gehosteten Homepage (weit über 400 
> Stück).

na is doch schick ^^

> Öffentlich bedeutet das, was der Webserver auch lesen kann/muss.
> Demnach kann ich mir auch den Inhalt einer PHP-Datei ausgeben lassen.
> Meine Software (nicht OpenSource) ist damit alles Andere als sicher.
> 
> Damit nicht genug: lese ich die Konfigurationsdatei einer willkürlichen Joomla 
> Installation aus (die ja nicht selten ist) kann ich mich mit diesen Daten 
> über das phpmyadmin in die fremde Datenbank einwählen, und hätte dann auch 
> schreibenden Zugriff! Ich kann so hunderte von Benutzeraccounts auslesen. Das 
> natürlich unbemerkt vom Betreiber des Joomlas.

Da würde ich direkt mal die anderen Kunden damit konfrontieren, dass
diese Möglichkeit besteht. Wobei ich mich gerade frage in wie weit das
strafrechtlich relevant ist, nicht das die Bombe nach hinten los geht...

> Wie würdet Ihr handeln? Klar bin ich mir im Klaren dass das was ich gemacht 
> habe verboten ist, habe trotzdem eine Mail zum Hoster geschrieben. Bekam eine 
> Rückmeldung von wegen AGB usw.

Public machen :)
Wegen AGB: Generell sollte ein Hoster nicht mit den AGBs wedeln,
sondern sich dem Problem annehmen. Leider ist das aber keine
Seltenheit, dass die unfähigen Administratorendienste dann mit den AGB
gemantelt werden...

Hoster wechseln, vorher Testaccount geben lassen (Kostenfrei) und sich
die Hostingumgebung ansehen.

Alternative: vServer anmieten (sofern du dir das zutraust (Kenntnisse))

> Danke schonmal für Anregungen, Chris.....


-- 

Viele Grüße

Dominique H. Schramm	| Linux Administrator
schwarz-weiss.cc	| Life between PuTTy and reality
ihr-linuxadmin.eu	| Commercial Admin Service

Reply to:

References:
- [OT] Was mache ich gegen unsicheren Webhoster?
  - From: Christian Knorr <debian-mailingliste@online.de>

Prev by Date: Re: [OT] Was mache ich gegen unsicheren Webhoster?
Next by Date: Re: Problem mit dem Lenny-Installer
Previous by thread: Re: [OT] Was mache ich gegen unsicheren Webhoster?
Next by thread: Re: [OT] Was mache ich gegen unsicheren Webhoster?
Index(es):
- Date
- Thread