Thema: OpenBasedir / Safemode Ja

Zitat von ecomeback

Unter Safe Mode OFF gibt es keine Probleme - unter ON jedoch schon.

Hallo,
was mache ich denn jetzt, oder habe ich da etwa was falsch verstanden!?
Laut dem, (siehe unten), lauten die korrekten Einstellungen:


OpenBasedir: Ja
Safemode: Ja
register_globals off (ist klar)

Also meine Frage bezieht sich hauptsächlich auf "Safemode"

Zitat von tina_

Mal als Stichwort: XSS
Was unter bestimmten Bedingungen (keine Variablenprüfung,
register_globals on, kein open_basdir und/oder safe_mode off) durchaus
erfolgreich ist.

LG Tina

P.S.: openBasedir: ja
Eigene vHost-Einstellungen:

Code:

<Directory "/var/kunden/webs/User*******/meine-website.de">
php_admin_value upload_tmp_dir  /var/kunden/webs/User*******/meine-website.de/tmp 
php_admin_value open_basedir /var/kunden/webs/User*******/meine-website.de:/tmp
</Directory>
<Directory "/var/kunden/webs/User*******/meine-website.de/CMS">
php_admin_value upload_tmp_dir  /var/kunden/webs/User*******/meine-website.de/CMS/tmp 
php_admin_value open_basedir /var/kunden/webs/User*******/meine-website.de/:/tmp
</Directory>

Wo gehört denn das hier hin?

Unter "Sicherheit", da, wo es steht?
Ist eine völlig ernste Frage bezüglich von "Safemode Ja".

EDIT: Und vielleicht ist es Dir schon mal aufgefallen das einige Hoster diese Funktion gänzlich abstellen. Machen die das "nur so", um ihre Kunden zu ärgern? "Kein Joomla! Hosting"?
In anbetracht der Tatsache, dass man im Schadensfall dafür haftet, finde ich das gar nicht mal so witzig.

Vielleicht interessiert es ja jemanden!?
Mal ein wenig in einem Forum für Hosting gelesen - "die alte Streitfrage".

Safe Mode scheint sicherheitstechnisch relevant zu sein wenn es als mod_php ausgeführt wird. Was allerdings suPHP / PHP mittels F(CGI) betrifft, so ist es bedeutungslos /irrelevant.

Aber auch das (bezüglich von mod_php) wird von "Anderen" bezweifelt - wie könnte es auch anders sein!?

Wo man mit ls, cat usw. (was auch immer das jetzt sein mag), mehr od. weniger Dateien und Verzeichnisse problemlos auslesen kann, hilft safe_mode nichts - open_basedir genausowenig.

Man kann also beruhigt sein!
Doch, lt meinen Infos, wird Safe Mode mit php6 abgeschafft.
Schluss, vorbei, Joomla! & Co. abschalten.

...sag ich ja - so sicher wie ein "schweizer Käse".

Zitat von tina_

Doch, lt meinen Infos wird Safe Mode mit php6 abgeschafft.
Schluss, vorbei, Joomla! & Co. abschalten.

verstehe nicht, wieso abschalten? Joomla braucht kein safemode on

Weil Du es bist.
Falls ich das richtig verstanden habe, also ohne Gewähr und Garantie, fliegt Safe Mode komplett raus. Dafür soll aber php6 insgesamt sicherer werden. Mit diversen Problemen bezügl. "Joomla! & Co." darf (vermutlich) gerechnet werden.

Zitat von tina_

Dafür soll aber php6 insgesamt sicherer werden. Mit diversen Problemen bezügl. "Joomla! & Co." darf (vermutlich) gerechnet werden.

also das versteh ich jetzt noch weniger, aber egal; weil du es bist, Tina, lass ich das jetzt so für mich stehen

Ich sende Dir jetzt einfach mal einen Link, per PN, damit es auch sonst niemand lesen kann. ...hinterher erkärst Du mir dann was es bedeuten mag.

dein Postfach ist voll

Hi Tina,

danke für die interessanten Infos, die sich grob mit meinem Kenntnisstand dazu decken, wie auch immer, sollte Joomla eines Tages wegen safemode nicht mehr laufen, schwenke ich einfach auf ein anderes CMS um oder zurück auf html
Gruß