httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Joerg Behrens <behr...@takenet.de>
Subject Re: Keine Programmausführung in upload-Verzeichnis zulassen.
Date Mon, 05 Oct 2009 10:46:50 GMT
mod4wb@heysoft.de schrieb:
>> Das heist dein Wrapper macht die Authentifizierung sofern Noetig, das
>> Accounting und generiert dann die passenden HTTP Header und schiebt per
>> readfile($file); dem Inhalt zum Client.
> 
> Das hat den Nachteil, daß alle Inhalte "durch das Script" müssen, was sich
> bei einer gut besuchten Site zum Flaschenhals auswachsen könnte.

Diese Moeglichkeit besteht.

> Wenn ich nach der Authentifizierung einfach eine Weiterleitung auf die
> Datei mache, hat das Script viel weniger zu tun.

Das heist die Datei waere auch ohne Authentifizierung erreichbar 
letztendlich.

Zurueck zum Thema:
Es gibt die Option "php_engine = Off" im Apache zu verwenden wenn man 
PHP als Modul benutzt. Das funktioniert in der httpd.conf und 
wahrscheinlich auch in einer .htaccess. Einfach mal Doku lesen oder 
ausprobieren.

Aber richtig zufrieden waere ich damit nicht, da es immer besser ist 
eine  Whitelist zuhaben als eine Blacklist an *dieser Stelle*. Wer weis 
was in dem Apache noch so alles erlaubt oder mal spaeter freigeschaltet 
wird an CGI/SSI/Perl oder anderem Kram welchen man nicht kennt.

Gruss
Joerg


-- 
TakeNet GmbH,                    Geschaeftsfuehrer Wolfgang Meier
97080 Wuerzburg                  Tel: +49 931 903-2243
Alfred-Nobel-Straße 20           Fax: +49 931 903-3025
HRB Wuerzburg 6940               http://www.takenet.de


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message