On Tue, Jul 05, 2005 at 06:33:22AM +0200, [EMAIL PROTECTED] wrote: Hello, > Très franchement, j'ignore ce qu'est l'IUD. Ce n'est donc pas moi qui > risque de cracker les mots de passe de mes voisins en hébergement > mutualisé. Cela d'autant moins que je n'ai qu'une accès ftp. En > hébergement mutualisé, il est très rare que les utilisateurs aient un > accès telnet, ou shell. > > Vous personnellement, si vous avez un compte mutualisé avec accès ftp sur > un répertoire utilisateur donné, sur un serveur disposant de php en mode > non safe, vous pouvez trouver les mots de passe de vos voisins, puis le > mot de passe root de la machine? À cause de ce IUD, qui est le même pour > tous?
Le problème n'est pas à ce niveau. Imaginons que le safe_mode ne soit pas activé sur une machine hébergeant plusieurs clients: Lorsque tu veux te connecter à une base de données (PostgreSQL ou MySQL) par exemple, tu configures l'accès via un fichier php (en général config.inc ou équivalent), ce dernier contient donc nom d'utilisateur, de la base de données, mots de passe, etc. Si le safe mode n'est pas activé, le client X peut très bien aller lire le fichier du client Y et obtenir ainsi son mot de passe MySQL. Ceci est possible car le script php est executé par l'utilisateur tournant le serveur web (www-data par exemple). Et tous les scripts/fichiers des clients doivent forcément être lisibles par cet utilisateur... Le safe mode crée un environnement dans lequel un script appartenant à l'utilisateur X ne peut lire/executer que des fichiers/scripts appartenant aussi à l'utilisateur X. Le safe mode inclu aussi d'autres restriction comme l'execution de certaines commandes (system, exec, passthru, etc). Ca n'est donc pas nécessaire de pirater toute la machine pour faire des dégâts.... Salutations -- Alexis Domjan <[EMAIL PROTECTED]> _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
