Bug 6344

Summary: Недостаточно жёсткие настройки по умолчанию
Product: Sisyphus Reporter: Sir Raorn <raorn>
Component: mod_phpAssignee: Alexey Gladkov <legion>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: critical    
Priority: P2    
Version: unstable   
Hardware: all   
OS: Linux   

Description Sir Raorn 2005-03-29 11:11:59 MSD 
В поумолчательных конфигах присутствуют следующие поумолчательные опции:

display_errors = On
log_errors = Off

должно быть наоборот (утечка информации о физическом расположении скриптов,
названиях баз данных и т.п.)

register_globals = On

по умолчанию должно быть выключено

enable_dl = On

в фошшыстской конфигурации тоже неплохо бы выключить.

P.S. Несмотря на большой комментарий в самом начале конфига...
Comment 1 Alexey Gladkov 2005-03-29 16:11:04 MSD 
Опцию 
register_globals = On

выключать нельзя. Если это сделать, то у очень многих пользоваетелей перестанут 
работать прогрммы. В пакете есть такой файл:

/usr/share/doc/php-4.3.11/php.ini-recommended

в котором находится конфигурация рекомендуемая разработчиками. 

$ grep '^\(register_globals\|log_errors\|display_errors\) ='
/usr/share/doc/php-4.3.11/php.ini-recommended                                  
                                      
display_errors = Off
log_errors = On
register_globals = Off

но вводить ее по умолчанию к сожалению нельзя.
Comment 2 Sir Raorn 2005-03-29 16:21:33 MSD 
(In reply to comment #1)
> register_globals = On
> 
> выключать нельзя. Если это сделать, то у очень многих пользоваетелей
> перестанут работать прогрммы.

Тогда это не "программы", а поделия.  Тем более что по умолчанию в php > 4.2.0
оно выключено и описано в документации.  И есть сто тыщщ мульёнов ссылок с
рассказами почему так делать нельзя и как правильно...

А так получается что умолчательная установка php делает более возможной
cross-site scripting атаку на произвольное приложение.
Comment 3 algor 2005-03-29 16:28:02 MSD 
гм. "очень многие" смогут раскомментировать, и будут сами себе доктора. а
поощрять раздолбайство умолчальными настройками - плохо. тем более в php, на
котором пишут, в основном, люди неадекватные. до кретинизма.
Comment 4 Alexey Gladkov 2005-03-29 16:53:04 MSD 
Я давно хочу делать все наоборот т.е. по умолчанию php.ini будет с закрученными
всеми гайками, а в /usr/share/php-ХХХ будет лежать конфиг такой как  сейчас.
Таким образом для того чтобы сделать сервер уязвимым будет нужна сознательная
механическая работа админестратора. 

Вообщем считай что критическая масса набрана. В следующей сборке я попробую это
реализовать (постараюсь через control).
Comment 5 Sir Raorn 2005-03-29 16:57:01 MSD 
Вот-вот, именно так.

Не знаю, катит ли это для updates?  Хотелось бы...
Comment 6 Alexey Gladkov 2005-05-27 15:54:30 MSD 
Исправлено.
Добавлена поддержка control с разными вариантами конфигураций.