Re: [Mapbender-users] Sicherheitslücke?!

Wed Feb 28 10:18:12 EST 2007

Hi

Zusätzlich würde ich die Sicherheit durch Apache erhöhen:
http://httpd.apache.org/docs/2.2/misc/security_tips.html 

In der httpd.conf für alle Verzeichnisse grundsätzlich keinen Zugriff geben:

 <Directory />
AllowOverride None
</Directory>

...und für z.B. MapBender speziell den Zugriff gewähren:

Alias /mapbender /path/to/mapbender/http/

       <Directory /path/to/mapbender/http>
          Options MultiViews
          DirectoryIndex index.php
          Order allow,deny
          Allow from all
       </Directory>

...dann hat auch niemand mehr Zugang zum htdocs/tmp Verzeichnis - egal was dort ist....

Gruss Benj

>>> Thomas.Baschetti at gmx.de 28.02.2007 15:54 >>>
Hallo,

> In den temporären Sessions-Dateien werden Benutzername und Passwort im  
> Klartext gespeichert.
> Die Sessionsdateien liegen im htdocs/tmp Verzeichnis, welches für jeden 
> über 
> das Internet zugänglich ist.

auf die Gefahr hin dass es unter Linux anders ist:
Die Session-Dateien liegen in dem Verzeichnis, welches in der
php.ini angegeben wird,
z.B.

; The file storage module creates files using mode 600 by default.
; You can change that by using
;
;     session.save_path = "N;MODE;/path"
;
; where MODE is the octal representation of the mode. Note that this
; does not overwrite the process's umask.
session.save_path = "c:/tmp"

Also außerhalb von htdocs, da haben die Daten nichts zu suchen.

Ciao
Thomas
-- 
Ist Ihr Browser Vista-kompatibel? Jetzt die neuesten 
Browser-Versionen downloaden: http://www.gmx.net/de/go/browser 
_______________________________________________
Mapbender_users mailing list
Mapbender_users at lists.osgeo.org 
http://lists.osgeo.org/mailman/listinfo/mapbender_users