Vlákno názorů k článku PHP pro experty: bezpečnost od Michal Kubeček - Pokud mne paměť neklame, shadow passwords se začaly...
-
Michal Kubeček (neregistrovaný)
Pokud mne paměť neklame, shadow passwords se začaly hromadně používat někdy kolem roku 1995. Pokud autor používá na serveru tak starou instalaci a dosud se nerozhoupal ani k přechodu na shadow passwords, považoval bych to samo za bezpečnostní chybu takového kalibru, že popsaný problém se skriptem je proti tomu zanedbatelná lapálie. Pokud ne, tak v /etc/passwd žádná hesla nenajde.
Tím nechci říci, že include souboru, jehož jméno dostanu z parametru, není hrubá bezpečnostní chyba. Chci tím autora upozornit, že než opíše nesmysl, který se v článcích cituje stále dokola, měl by se aspoň podívat, jestli je na něm něco pravdy... Jinak se zařadí do zástupu těch, kdo v dobré víře balamutí veřejnost. -
jiri (neregistrovaný)
To neni opisovany nesmysl, ale proste zabehnuty ekvivalent napr. US oznaceni nezname osoby jako "John Doe". Navic to ma tu vyhodu, ze se jedna o soubor s jasne definovanym umistenim, tedy vetsinou existujici a s rozpoznatelnym formatem a pri prakticke ukazce onech ruznych "exploitu" se vypise jako dukaz funkcnosti. Nic vic.
Pochybuji, ze nekdo jiny krome vas v tom vidi realny attack vector. Je to proste jen priklad. Co by se u takove chyby (cteni libovolneho souboru) melo uvadet podle vas, /etc/issue? :))
Zkuste si vybrat neco jineho na rejpani. -
Michal Kubeček (neregistrovaný)
Autor měl po pravdě napsat: útočník může takto zobrazit obsah libovolného souboru, ke kterému má uživatel, pod nímž běží skript, právo čtení. To by byla naprostá pravda a bylo by to samo o sobě alarmující. Mohl také napsat, že útočník může získat seznam uživatelských jmen a třeba i umístění jejich domácích adresářů a defaultní shelly. Sice bychom se mohli hádat o to, jestli je to opravdu takový bezpečnostní problém, ale pořád by to byla pravda. Napsat, že zobrazením /etc/password útočník získá hesla uživatelů, je sice efektní, ale je to buď projev základní neznalosti (pokud autor neví, že tam dávno žádná hesla nejsou) nebo lež (pokud to ví). Abych řekl pravdu, nejsem si úplně jistý, která z možností je vlastně horší.
Domníval jsem se, že Root není Blesk nebo Nova, aby bylo nutno pro zvýšení zájmu čtenářů informace přibarvovat bez ohledu na jejich pravdivost.
