[foks]

Citat:

Ursprungligen postat av Wojt

Citat:

Skaffa ett riktigt webbhotell.

Vad för säkerhetsproblem har B-One då?

[ctor]

Citat:

Originally posted by foks@Jul 27 2006, 07:06
Vad för säkerhetsproblem har B-One då?

Har väl inte att göra direkt med detta, men B-One saknar bl.a. helt krypterad överföring (eller gjorde så sist jag frågade). Som minst tycker jag ett hyfsat webbhotell skall erbjuda möjlighet att skicka upp filer utan att mitt lösenord skickas i klartext över Internet.

[Wojt]

foks: Det verkar ganska klart att de inte har chrootad användarna tex. Har ingen inblick i deras servrar då jag har prioriterat bort dem för längesen och aldrig varit dum nog att skaffa konto där.

[Chreo]

Citat:

Originally posted by Wojt@Jul 27 2006, 11:45
Det verkar ganska klart att de inte har chrootad användarna tex.

Självklart kör B-one chroot och dessutom safe_mode som inte kan deaktiveras. Skicka en fråga till deras support om du misstror. Man kan inte driva webhotell på unix/linux utan chroot för FTP det borde väl vara självklart.

Problemet ligger i phpBB etc som har notoriska säkerhetsproblem och genom att lösen till databas lagras okrypterat så är det tyvärr löjligt enkelt att knäcka gamla versioner

[SimonP]

Citat:

Ursprungligen postat av foks

Citat:

Vad för säkerhetsproblem har B-One då?

phpbb är nog det php-forumet som haft flest säkerhetshål om man jämför med andra php-forum.

[Wojt]

Citat:

Originally posted by Chreo@Jul 27 2006, 12:11
Självklart kör B-one chroot och dessutom safe_mode som inte kan deaktiveras.

Bara för att de chrootar FTP-kontot innebär väl inte systemkontot är chrootad. Dvs ett riktig chrootad systemkonto kan inte läsa andras .php filer server-side som nedan.

"fopen("directory/bbs/config.php")"

I ett dåligt system räcker det att ladda upp en php fil som navigerar runt med ../ för apache läser det som samma användare och hittar andras filer, även om FTP-kontot är chrootad.

Som sagt vet jag inte hur b-one har satt upp sitt.

Borde ju inte vara såååå dåligt uppsatt när de ändå är så stora.

[Chreo]

Nej, inte om du kör med safe_mode. Då kan inte PHP öppna filer som inte har samma "owner" som PHP körs med.

[WizKid]

Citat:

Originally posted by Chreo@Jul 27 2006, 12:11
Problemet ligger i phpBB etc som har notoriska säkerhetsproblem och genom att lösen till databas lagras okrypterat så är det tyvärr löjligt enkelt att knäcka gamla versioner

Jag kanske bara yrar men hur loggar PHP in på MySQL utan att ha lösenordet i klartext?

[Chreo]

Ja normalt sett behöver du lösen i klarttext vid inloggning och det är inte problemet per se utan i problemet är i kombination med osäkra phpBB.

[ctor]

En tänkbar förklaring kan man se på http://www.php.net, där det nu publicerats information om säkerhetsluckor som rör just safe_mode.