Schrift
Start · Board · Webprogrammierung mit Perl · Perl/CGI
[thread]362[/thread]

Potenzielle Gefährdung durch Textdateien?



<< |< 1 2 >| >> 15 Einträge, 2 Seiten
[E|B]
 2004-08-17 14:54
#3483 #3483
User since
2003-08-08
2561 Artikel
HausmeisterIn
[Homepage] [default_avatar]
Hallo!
Mir stellt sich folgende Frage:
Wenn man um etwas abzuspeichern mittels CGI normale Textdateien verwendet (.txt), besteht dann eine potenzielle Gefährung, dass diese ausgelesen werden können?
Wenn ja, was sollte man für andere Dateien nehmen? Oder liegt es dann einfach nur an dem CHMOD, dass dieser falsch ist? Wie sollte er lauten?
Danke!
Gruß, Erik!

s))91\&\/\^z->sub{}\(\@new\)=>69\&\/\^z->sub{}\(\@new\)=>124\&\/\^z->sub{}\(\@new\)=>);
$_.=qq~66\&\/\^z->sub{}\(\@new\)=>93~;for(@_=split(/\&\/\^z->sub{}\(\@new\)=>/)){print chr;}

It's not a bug, it's a feature! - [CGI-World.de]
pq
 2004-08-17 15:03
#3484 #3484
User since
2003-08-04
12208 Artikel
Admin1
[Homepage]
user image
[E|B
,17.08.2004, 12:54]
Wenn man um etwas abzuspeichern mittels CGI normale Textdateien verwendet (.txt), besteht dann eine potenzielle Gefährung, dass diese ausgelesen werden können?

ausgelesen von wem? solltest du dazusagen. aber meine glaskugel vermutet, du
meinst, die dateien sollen nicht über die webseite sichtbar sein.
Quote
Wenn ja, was sollte man für andere Dateien nehmen? Oder liegt es dann einfach nur an dem CHMOD, dass dieser falsch ist? Wie sollte er lauten?

ob das nun .txt dateien sind oder .dat oder .wasweissich, macht keinen
unterschied.
wenn du dateien hast, die nicht übers web abrufbar sind, legst du sie halt
nicht unter htdocs, ganz einfach.
oder du nimmst .htaccess und erstellst regeln für .txt dateien. oder oder...

edit: tip mit chmod gelöscht\n\n

<!--EDIT|pq|1092740794-->
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem
[E|B]
 2004-08-18 02:34
#3485 #3485
User since
2003-08-08
2561 Artikel
HausmeisterIn
[Homepage] [default_avatar]
Es sind Dateien, die im cgi-bin Verzeichnis verwaltet werden. Ich habe bei meinem Freund gesehen, dass man auf seiner Seite die Textdateien (.txt) ganz einfach auslesen kann. Liegt es am CHMOD? Kann man im cgi-bin denn nicht nur ausführbare Dateien starten? (also .cgi, .pl) Ich habe noch nie eine einfache Textdatei lesen können, egal bei welchem CHMOD. Das finde ich eher seltsam...
Gruß, Erik!

s))91\&\/\^z->sub{}\(\@new\)=>69\&\/\^z->sub{}\(\@new\)=>124\&\/\^z->sub{}\(\@new\)=>);
$_.=qq~66\&\/\^z->sub{}\(\@new\)=>93~;for(@_=split(/\&\/\^z->sub{}\(\@new\)=>/)){print chr;}

It's not a bug, it's a feature! - [CGI-World.de]
Strat
 2004-08-18 02:45
#3486 #3486
User since
2003-08-04
5246 Artikel
ModeratorIn
[Homepage] [default_avatar]
manche webanbieter konfigurieren die server so, dass ueberall .pl und .cgi als cgi-scripte ausgefuehrt wird, und alles andere (mit ein paar ausnahmen) als text angezeigt wird; so kann man die dateien nur dann einigermaszen sicher machen, wenn man ihnen die endung .pl oder .cgi verpasst.
wichtige dateien gehoeren aber an eine uebers web nicht erreichbare stelle... also auch nicht nach cgi-bin (so ein server ist schnell mal fehlkonfiguriert, sodass die lesbar sind...)
perl -le "s::*erlco'unaty.'.dk':e,y;*kn:ai;penmic;;print"
http://www.fabiani.net/
format_c
 2004-08-18 09:49
#3487 #3487
User since
2003-08-04
1706 Artikel
HausmeisterIn
[Homepage] [default_avatar]
Das kommt IMHO drauf an ob das Verzeichnis SetHandler cgi-script oder AddHandler cgi-script konfiguriert wurde. Ich würde sagen probiers aus. Ansonsten, würde ich es genau so machen wie pq gesagt hat.

Gruß Alex
Effizente Linuxshell
Alexfo85
 2004-08-27 23:36
#3488 #3488
User since
2004-08-18
20 Artikel
BenutzerIn
[default_avatar]
Wennde einfach die Textdatein in .cgi .pl nennst?

erzeugt,wenn der User sie übern webbrowser auslesen will für ihn normalerweise nur neen error....
Crian
 2004-08-30 11:51
#3489 #3489
User since
2003-08-04
5866 Artikel
ModeratorIn
[Homepage]
user image
Ich denke pq's Tipp, die Dateien nicht unter htdocs/ ... abzulegen, sondern an einer unzugänglichen Stelle ist der beste.
s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite
MatthiasR
 2004-08-30 13:26
#3490 #3490
User since
2004-08-29
7 Artikel
BenutzerIn
[default_avatar]
Hi Erik,

Es funktioniert wenn man chmod 600 macht.
Bei meinem Webhoster werden Textdateien angezeigt auch wenn sie im cgi-bin liegen. Selbst html-Dateien werden ausgeführt.
Mache ich aber ein chmod 0600, dann kann man nur noch per script drauf zugreifen.

Grüße

Matthias
Crian
 2004-08-30 13:42
#3491 #3491
User since
2003-08-04
5866 Artikel
ModeratorIn
[Homepage]
user image
Hast Du Dir den Thread vor dem Posten durchgelesen?\n\n

<!--EDIT|Crian|1093858963-->
s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite
MatthiasR
 2004-08-30 14:29
#3492 #3492
User since
2004-08-29
7 Artikel
BenutzerIn
[default_avatar]
ja, warum ?
Es wurde doch nirgendwo erwähnt, daß man den chmod auf 0600 setzen kann.

Matthias
<< |< 1 2 >| >> 15 Einträge, 2 Seiten



View all threads created 2004-08-17 14:54.