Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Modrá je dobrá
zelená je lepší

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Hosting [ŽP: neomezená] (kategorie Internet) moderují Jana, knedle.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
Chcete umístit někam svoje stránky. Stačí vám freehosting, nebo máte zájem o webhosting za peníze? V tomto klubu si můžeme vyměnit zkušenosti s obojím.

Hostingy www.jakpsatweb.cz/hosting.html Yuhů sepsal článek na téma "Co byste měli vědět o komerčním hostingu, než si nějaký objednáte."
  www.hormart.cz. Vyhledávač placených hostingů v České republice - možnost výběru i podle různých kritérií.
  www.hostingy.cz. Přehled a srovnání hostingů jednotlivých providerů. Seznam programů s možností vyhledávání.
Freehostingy - zahraniční www.freewebspace.net. Vyhledávač zde.
Freehostingy - domácí Články na www.grafika.cz - 1, 2, 3, 4.
  free.hostingy.cz
  freeweby.iglu.cz
Freehostingy - domácí s PHP a MySQL Na mých stránkách - zde.


Klub o webhostingu existuje i na Okounovi.
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: nnvpaue
[ 161 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
fis fis 25.2.2007 19:00  689
Problem je totiz v tom, ze zadne obecne a dostatecne uspokojive reseni proste s klasickym modelem apache + mod_php neexistuje a ani existovat nemuze.

Apache bezi pod nejakym svym uzivatelem. Pokud by to byl root, pak by sice mohl fungovat treba nejaky takovy patch, ktery zminuje tvx, ale bezpecnostni dusledky behani apache pod rootem jsou natolik ohromne, ze se vubec nedivim, ze si to nikdo neriskne (nejde ani tak o apache samotneho, jako spis o nektere externi veci typu PHP ci OpenSSL, ktera nemaji vubec dobrou bezpecnostni historii ani soucasnost). Dalo by se samozrejme toho roota orezat natolik, aby mel co nejmensi prava (pomoci ruznych systemovych ACL nebo capabilities), ale nevim o tom, ze by si nejaky hosting veril natolik, aby tohle implementoval.

Takze tedy nemame apache pod rootem a nejaky patch co upravuje prava dodatecne je mimo hru. Asi by se dal udelat nejaky externi proces pod rootem, ktery by na zadost apache jenom menil prava uzivatelu, ale... i to je asi pomerne snadno zneuzitelne. Uzivatel si sam zmenit vlastnictvi skriptu nemuze. Je zde tedy moznost mit skripty vlastnene primo uzivatelem, pod kterym bezi webserver. UID novych souboru a adresaru se bude rovnat tomu UID, ktery ma skript. To je super, jenze... to jaksi uz nema cenu provozovat safe_mode vubec, kdyz udelame tohle (vsechno bude mit jednoho vlastnika).

Pokud se nepletu, tak pokud mame adresar vlastneny vlastnikem skriptu, a soubory v nem jsou vlastneny apachem, neni problem pri zapnutem safe_mode se soubory v takovem adresari manipulovat, davat tam jine etc. Tudiz pokud si adresare predem pripravime, uploady to nezkazi, manipulace to nezkazi. Zkazi to mkdir, ktery vytvori adresar vlastneny apachem a v tom uz neudelame ani tuk. Proto nektere lepsi webove aplikace umi vytvaret adresare primo pres ftp.

Existuje jeden zpusob, jak se to da resit. Zapne se safe_mode nikoli podle uidu, ale podle gidu. A gid se da dedit. Lze zajistit, aby se gid podedil od otcovskeho adresare. Tudiz pak apache muze vesele vytvaret veci pod sebou, vytvorene adresare zdedi gid od sveho adresare rodicovskeho, soubory taky a php porovnava gid a vsechno funguje presne jak ma i se zapnutym safemode. Jenze... je to too good to be true. Na svete existuje asi tak miliarda PHP vyvojaru, co si mysli, ze vsechny webservery jsou nakonfigurovane stejne, a prvni co udelaji jakmile vytvori soubor nebo adresar, je to, ze tam vesele naperou chmod(777), cimz zrusi priznak dedicnosti GID a je po srande, metoda opet selhava.

Problem safe_mode i open_basedir (ktera asi jako jedina casem zustane) je jeste jiny. Vse je to vynucovane pouze v PHP a vzhledem k tomu, kolik funkci a rozsireni v PHP je, se nejde tak stoprocentne spolehnout na to, ze skutecne vsechny toto budou respektovat a kazdou chvili se prave najde chyba typu obejiti open_basedir nebo obejiti safe_mode... Je lepsi mit asi zapnute obe dve a doufat.

Mozna o neco lepsi je nepouzivat mod_php, ale mod_fcgid s fastcgi verzi PHP. To se ale velmi obtizne (az nerealisticky obtizne) udrzuje pri vetsim mnozstvim virtualhostu, chova se to obcas trochu divne. Ale vyhoda je jasna - muze to bezet primo pod uzivatelem vlastnicim dane skripty, tudiz je to bezpecnostne uplne jinde, nez safe_mode ci open_basedir (bezpecnost zde vynucuje system) a problemy se safe_mode odpadaji.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 25.2.2007 12:17  688
PHP navíc obsahuje kontrolu, že v safemode nedovolí přistupovat k souborům, které nemají stejného vlastníka jako skript, který k souboru přistupuje
takhle je to správně! tedy, php nepovolí shat na soubory vlastněné ani apachem jak pises nesprane ty a v TOM je ten problem... existuje prej patch, kdy php vyrabi soubory pod vlastnikem spusteneho skriptu coz by byla sparvan cesta ale malokterej hosting tenhle patch pouziva,nebo spis u nas asi nikdo...
chown viz. KKL
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 24.2.2007 03:08  686
Bredy [683]: Nevím, proč by chown neměl fungovat. Svůj soubor dávám někomu jinému, to snad může udělat jakýkoliv user, včetně usera Apache. Hehe, vtipalku. Tak si predstav, ze si nekde ve svym $HOME vytvorim soubor, pomoci prav v ceste k nemu zaridim, ze se k nemu nemuze dostat uzivatel bredy, a pak soubor predam uzivateli bredy. Ten mi jiste ohromne podekuje, jelikoz mu takhle krasne budu cerpat uzivatelskou quotu na velikost jeho souboru, zatimco svoji si budu setrit.
A s tim safe modem to bude taky slozitejsi, ja si s tim bohuzel moc nehral, ale na ty obtize s kombinaci souboru, ktere clovek vytvori z PHP, s temi, ktere nahraje pres FTP, jsem uz narazil v diskusich milionkrat a nejake obecne a dostatecne uspokojive reseni nikde a moc bych za to nedal, kdyby to bylo duvodem, proc je (pokud vim) safe mode zastaraly, upousti se od nej a ma ho nahradit neco jineho.
huh huh 24.2.2007 02:55  685
IIRC je dulezity pred jakoukoli jinou cinnosti se souborem pouzit move_uploaded_file. Ted jsem to zkousel na pipni a upload mi tam chodi naprosto bez problemu, clovek musi mit akorat nastaveno pravo na zapis pro vsechny do adresare, kam je uklada.
bredy 24.2.2007 01:10  684
ještě jednou a lépe. Vlastníkem webserveru je user apache. Skripty které spouští PHP jsou taky v kontextu vlastníka apache. Soubory, které skript vytvoří take mají vlastníka apache. Z PHP lze přistupovat ke všem souborům, jenž mají vlastníka apache.

PHP navíc obsahuje kontrolu, že v safemode nedovolí přistupovat k souborům, které nevlastní apache a nemají stejného vlastníka jako skript, který k souboru přistupuje.
bredy 24.2.2007 01:06  683
tvxjakmile skript vyrobí soubor, je vlastníkem apache. Skript běžící pod apachem může samozřejmě také změnit přístupová práva (chmod), tak aby tam měli přístup i ostatní (já tam rvu 0666 a neřeším to).

Nevím, proč by chown neměl fungovat. Svůj soubor dávám někomu jinému, to snad může udělat jakýkoliv user, včetně usera Apache.

Jinak pozor na vlastnictví. Všechny skripty běží pod userem Apache. PHP v safemode pouze kontroluje otevírané soubory a nedovolí otevřít soubor který patří jinýmu vlastníkovi, než je vlastník skriptu, který soubor otevírá. Tohle je vlastnost safe mode, a mám pocit, že se do tohoto pravidla nezapočítává vlastník webserveru (pod nímž vznikají nové soubory) a že se na chmod a chown nevztahuje (protože chmod a chown lze skutečně jen pustit na soubory vytvořené apachem)
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 23.2.2007 11:14  682
Bredyale ja jakmile vyrobim soubor, uz si na nej timto nesahnu! prava se neberou v uvahu, pouze VLASTNIK! a ten musi byt shodny s vlastnikem beziciho skriptu, zatimco vlastnikem je apache co to vyrobil. uz je jasno? chown muze pouze root nikoli apache...
bredy 23.2.2007 09:53  681
tvxhttp://cz.php.net/chown
http://cz.php.net/chmod

jen je potřeba při návrhu skriptu myslet na to, že když skript vyrobí soubor, tak je jeho vlastníkem.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 17.2.2007 19:35  680
knedleupload je ejste v pohode,problemjepak dalsi spravovani,treba na pipni kdyz vyrobim soubor, je vlastnikem vzdy apac... avsak pote system vyzaduje k jeho manipulaci abych ten souborvlastnil ja, jedina moznost pripojovatse pro manipulace pres ftp z php...
hugo hugo Usmívejte se, - bude hůř!!!! 15.2.2007 10:51  679
Jeden web, který spravuju hostuje tady
http://econnect.ecn.cz/

Pokud chci uploadovat soubory na server, tak musím požádat admina aby mi nastavil požadovaná práva. Je to dost drbačka.
knedle knedle online - Krabice živých 15.2.2007 09:55  678
hugo [675]: asi sem mel vzdy stesti - upload i na safe modu nebyl problem
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 14.2.2007 10:37  677
v kazym pripade, nejakej rozumnej seznam hostingu ktery kdopouzivate, do 2000/rok a ja uz si to preberu by byl? zahlavi je sijne neaktualni...
nebo odkazy na web...
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 14.2.2007 09:38  676
jak pise hugo, je s tim obvykle hromada problemu pokud clovek chce rozchodit temer cokoli co aspon minimalne pracuje se souborama na disku.
typicke jsou galerie, sprava souboru a podobne...
vetsinou ma na hostingu clovek ucet pod nimz pracuje pod ftp, zatimco skripty bezi pod apachem a tak vznika casto gulas az do te miry ze clovek nakonec ztrati prava k nekterym souborum a adresarum uplne a podobne vtipy... kuprikladu soubor vytvorenej pomoci PHP v adresari ktere nepatri apacovi je nadale uzivateklem absolutne nedostupny jak pres ftp tak pres php.
hugo hugo Usmívejte se, - bude hůř!!!! 14.2.2007 05:33  675
Upload funguje pokud je vlastníkem adresáře a skriptu stejný user. Což bohužel často není splněno.
case Case Greatest comedy of the generation of - blah blah ever to do a thing on a thing. 13.2.2007 23:25  674
No obvykle v PHP nefunguje upload, pokud je zapnutý safemode. Možná se to dá nějak obejít, ale defaultně to prostě nejde.

[ 161 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt