Kommentare zu: Sicheres Webhosting: Wie man Hacker ausbremst und die eigene Website schützt

Von: Kevin

Kevin — Tue, 09 Feb 2010 14:26:30 +0000

Der Satz “Standardmäßig ist bei einem Webhosting-Anbieter der PHP-Safe-Mode aktiviert” ist falsch. Ich kenn mehrere namenhafte Hoster die diese Krücke von Sicherheitsfunktion standardmäßig eben NICHT aktivieren, da sie sich schon beim Aufsetzen der Shared-Server Gedanken zu Berechtigungen/Gruppen/Chroots/Basedirs u.ä. gemacht haben. Das diese damit mindestens genauso sicher sind wie ein Hoster der auf SafeMode setzt, sollte eigentlich jedem der sich mit dem Thema beschäftigt klar sein.
IMO ist der ganze Absatz irgendwie seltsam … der Hinweis auf einen PHP Hardener wie Suhosin u.ä. wäre an der Stelle für die Selbsthoster vielleicht noch interessant gewesen.
Ansonsten Daumen hoch ;) das Thema kann man nicht oft genug wiederholen!

Von: Sicheres Webhosting: Wie man Hacker ausbremst und die eigene Website schützt » t3n News

Tue, 09 Feb 2010 07:34:35 +0000

[...] Datenklau & Co. aber enorm. Unser Artikel aus t3n Magazin Nr. 17 gibt dazu einen Überblick. Er steht jetzt kostenlos im Heftarchiv zur Verfügung. Zudem kann man t3n Nr. 17 für 9,80 Euro inklusive Versandkosten auch in unserem Shop bestellen. [...]

Von: Ronny Schick

Ronny Schick — Thu, 01 Oct 2009 06:55:11 +0000

Hallo Michael,
das habe ich natürlich auch so gemeint. In der verbesserten Version steht daher das Wörtchen “er” (wird er (der Safe-Mode) wegfallen).

Von: Michael Karl

Michael Karl — Wed, 30 Sep 2009 19:07:00 +0000

Das stimmt ja ausgerechnet nicht. Nicht die Deaktivierung wird wegfallen, sondern die Aktivierung. Den kompletten Safe-Mode wird es in Version 6 nicht mehr geben.

Von: Ronny Schick

Ronny Schick — Thu, 03 Sep 2009 14:10:13 +0000

In der Tat kann der Passus missverstanden werden, wodurch die Anmerkung bzw. Verbesserung absolut korrekt ist.

Richtig müsste es heißen: Apropos: Die Deaktivierung des Safe-Mode stellt nicht nur eine mögliche Gefahr dar, sondern wird er mit der kommenden PHP Version 6 auch gänzlich wegfallen. Die Programmierer sind somit ohnehin gezwungen Ihren Code womöglich zu überarbeiten.

Von: Robert Steindl

Robert Steindl — Sun, 30 Aug 2009 15:40:26 +0000

Der Abschnitt zum PHP Safe-Mode enthält einen Fehler: In PHP 6 wird nicht die Deaktivierung des Safe Mode entfallen, sondern der Safe Mode selbst. Zitat von der PHP-Website:

Safe Mode is deprecated in PHP 5.3.0 and is removed in PHP 6.0.0.

Entwickler sollten sich daher Gedanken machen, wie sie ihre Applikationen OHNE Safe Mode absichern, d.h. auf den Ebenen, die dafür zuständig sind, z.B. durch korrekte Rechtevergabe im OS.

Von: Adrian Philipp

Adrian Philipp — Fri, 28 Aug 2009 17:23:33 +0000

Hallo Ronny,

habe den Artikel gerade in der t3n gelesen und bin über den Abschnitt PHP Safe-Mode gestolpert.

Ich glaube da ist etwas durcheinander gekommen. In PHP6 wird der Safe-Mode entfernt werden, nicht wie im Artikel angegeben “die Deaktivierung wegfallen”. In PHP 5.3 ist diese Einstellung bereits als “DEPRECATED” markiert.
Quelle: http://de3.php.net/manual/en/ini.sect.safe-mode.php

Aus diesem Abschnitt geht hervor, dass der Safe-Mode PHP komplett sicher mache. Leider stimmt dies nicht. Der Safe-Mode erweckt einen falschen Eindruck von Sicherheit. Gerade das Prüfen auf erlaubte Dateirechte-Operationen sind eher weniger Sache von PHP sondern müssen bereits in der Serverumgebung korrekt geregelt werden.
Quelle: http://www.php.net/~derick/meeting-notes.html#safe-mode

Eine PHP-Anwendung die sich nicht unter Safe-Mode installieren lässt sagt weiterhin nichts darüber aus ob die Anwendung sicher programmiert ist oder nicht. Schon das anlegen von Cachefiles im tmp-Verzeichnis kann bei schlechter Serverkonfiguration durch den Safe-Mode geblockt werden. Deshalb eine andere Anwendung auszuwählen halte ich für einen sehr fragwürdigen Tipp.

Viele Grüße,

Adrian