Informacje z branży IT:
Kilka dni temu firma Microsoft złożyła wniosek o przyznanie patentu na korzystanie z komputera w systemie pre-paid. Okazuje się jednak, że amerykański urząd nie przychylił się do próśb giganta z Redmond i podanie odrzucił.
Sun, 4 Jan 2009 12:16:41 +0100
W najnowszej publikacji "The Race for a New Game Machine", której autorami jest dwóch inżynierów z firmy IBM, pojawiła się bardzo ciekawa informacja o tym, że Sony w znacznej części pokryło koszt wyprodukowania procesora Xenon, który znalazł się w konkurencyjnej konsoli Xbox 360 od Microsoftu.
Sun, 4 Jan 2009 12:01:30 +0100
Jeszcze tylko przez tydzień można wziąć udział w specjalnej aukcji numeru GG:17 należącego do Wielkiej Orkiestry Świątecznej Pomocy. Już teraz jest on wart ponad 20 tys. złotych.
Sat, 3 Jan 2009 15:07:18 +0100
Porozmawiamy jakie są trendy w świecie wirusów komputerowych. Powiemy też jak skutecznie chronić nasz komputer przed spywarem i wirusami komputerowymi oraz innymi zagrożeniami z sieci. Naszymi gośćmi będą Olga Komuda, Adam Żelazko i Piotr Walas szef działu technicznego Panda Security.
Kurs programowania:
Rozdział 42. Tryb bezpieczny
Tryb bezpieczny (safe mode) jest próbą rozwiązania problemów bezpieczeństwa na współdzielnym serwerze. Co prawda rozwiązywanie ich na poziomie PHP nie jest najlepszym rozwiązaniem, ale jeśli nie ma możliwości zrobienia tego na poziomie serwera www lub systemu operacyjnego, na wielu serwerach, zwłaszcza u usługodawców internetowych, używa się trybu bezpiecznego.
Dyrektywy konfiguracyjne odpowiadające za tryb bezpieczny:
safe_mode = Off safe_mode_gid = 0 safe_mode_include_dir = safe_mode_exec_dir = open_basedir = safe_mode_allowed_env_vars = PHP_ safe_mode_protected_env_vars = LD_LIBRARY_PATH disable_functions = |
Gdy opcja safe_mode jest włączona, PHP sprawdza czy właścicielem pliku na którym na którym funkcja chce operować i właścicielem uruchamianego skryptu jest ten sam użytkownik. Na przykład:
-rw-rw-r-- 1 rasmus rasmus 33 Jul 1 19:20 script.php -rw-r--r-- 1 root root 1116 May 26 18:01 /etc/passwd |
<?php |
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not allowed to access /etc/passwd owned by uid 0 in /docroot/script.php on line 2 |
Jeśli zamiast włączać opcję safe_mode ustawisz katalog open_basedir, wtedy wszystkie operacje plikowe bedą ograniczone do tego katalogu. Na przykład (dla httpd.conf Apache'a):
<Directory /docroot> php_admin_value open_basedir /docroot </Directory> |
Warning: open_basedir restriction in effect. File is in wrong directory in /docroot/script.php on line 2 |
Możesz także wyłączyć pojedyncze funkcje. Pamiętaj jednak, że dyrektywa disable_functions może być użyta tylko w pliku php.ini, co oznacza, że nie da się wyłączać funkcji w sekcjach VirtualHost i Directory w pliku httpd.conf. Jeśli do pliku php.ini dodasz:
disable_functions readfile,system |
Warning: readfile() has been disabled for security reasons in /docroot/script.php on line 2 |
Funkcje ograniczone/wyłączone w trybie bezpiecznym
Jest to najprawdopodobniej wciąż niekompletna lista funkcji ograniczonych przez tryb bezpieczny.
Tabela 42-1. Funkcje ograniczone w trybie bezpiecznym
| Funkcja | Ograniczenia |
|---|---|
| dbmopen() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| dbase_open() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| filepro() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| filepro_rowcount() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| filepro_retrieve() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| ifx_*() | Podlega ograniczeniom narzuconym przez sql_safe_mode, (!= tryb bezpieczny) |
| ingres_*() | Podlega ograniczeniom narzuconym przez sql_safe_mode, (!= tryb bezpieczny) |
| mysql_*() | Podlega ograniczeniom narzuconym przez sql_safe_mode, (!= tryb bezpieczny) |
| pg_loimport() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| posix_mkfifo() | Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| putenv() | Podlega dyrektywom safe_mode_protected_env_vars i safe_mode_allowed_env_vars w php.ini. Zobacz również dokumantację do putenv() |
| move_uploaded_file() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| chdir() | Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| dl() | Ta funkcja jest niedostępna w trybie bezpiecznym |
| lewy apostrof | Ta funkcja jest niedostępna w trybie bezpiecznym |
| shell_exec() (funkcja równoważna z lewym apostrofem) | Ta funkcja jest niedostępna w trybie bezpiecznym |
| exec() | Możesz uruchamiać programy jedynie z katalogu zdefiniowanego dyrektywą safe_mode_exec_dir. Ze względów praktycznych obecnie nie ma możliwości stosowania .. w ścieżce do programu. |
| system() | Można uruchamiać programy jedynie z katalogu zdefiniowanego dyrektywą safe_mode_exec_dir. Ze względów praktycznych obecnie nie ma możliwości stosowania .. w ścieżce do programu. |
| passthru() | Można uruchamiać programy jedynie z katalogu zdefiniowanego dyrektywą safe_mode_exec_dir. Ze względów praktycznych obecnie nie ma możliwości stosowania .. w ścieżce do programu. |
| popen() | Można uruchamiać programy jedynie z katalogu zdefiniowanego dyrektywą safe_mode_exec_dir. Ze względów praktycznych obecnie nie ma możliwości stosowania .. w ścieżce do programu. |
| mkdir() | Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| rmdir() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| rename() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| unlink() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| copy() | Sprawdza czy pliki lub katalogi, na których będą
przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest
aktualnie wykonywany. Sprawdza, czy katalog, na którym ma być wykonywana
operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie
wykonywany. (dla
źródła i
przeznaczenia) |
| chgrp() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| chown() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| chmod() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. Dodatkowo, nie można ustawić bitów SUID, SGID i sticky bit. |
| touch() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. |
| symlink() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. (sprawdzany jest jedynie element do którego tworzony jest link) |
| link() | Sprawdza czy pliki lub katalogi, na których będą przeprowadzane operacje, mają takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. Sprawdza, czy katalog, na którym ma być wykonywana operacja, ma takie same UID (owner) jak skrypt, który jest aktualnie wykonywany. (sprawdzany jest jedynie element do którego tworzony jest link) |
| getallheaders() | W tybie bezpiecznym, nagłowki zaczynające się od 'authorization' (wielkość liter bez znaczenia) nie będą zwracane. Uwaga: w implementacji dla serwera AOL ta funkcjonalność jest uszkodzona |
| Każda funkcja korzystająca z php4/main/fopen_wrappers.c | ?? |
| Poprzedni | Spis treści | Następny |
| Stałe połączenia z bazami danych | Początek rozdziału | Using PHP from the command line |
Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował nowy artykuł analityczny pt. "Identyfikowanie botnetów rozsyłających spam z wykorzystaniem metody skoordynowanych dystrybucji".