Bug 6344 - Недостаточно жёсткие настройки по умолчанию
: Недостаточно жёсткие настройки по умолчанию
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/mod_php)
: unstable
: all Linux
: P2 critical
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2005-03-29 11:11 by
Modified: 2005-07-15 10:54 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2005-03-29 11:11:59
В поумолчательных конфигах присутствуют следующие поумолчательные опции:

display_errors = On
log_errors = Off

должно быть наоборот (утечка информации о физическом расположении скриптов,
названиях баз данных и т.п.)

register_globals = On

по умолчанию должно быть выключено

enable_dl = On

в фошшыстской конфигурации тоже неплохо бы выключить.

P.S. Несмотря на большой комментарий в самом начале конфига...
------- Comment #1 From 2005-03-29 16:11:04 -------
Опцию 
register_globals = On

выключать нельзя. Если это сделать, то у очень многих пользоваетелей перестанут 
работать прогрммы. В пакете есть такой файл:

/usr/share/doc/php-4.3.11/php.ini-recommended

в котором находится конфигурация рекомендуемая разработчиками. 

$ grep '^\(register_globals\|log_errors\|display_errors\) ='
/usr/share/doc/php-4.3.11/php.ini-recommended                                  
                                      
display_errors = Off
log_errors = On
register_globals = Off

но вводить ее по умолчанию к сожалению нельзя.
------- Comment #2 From 2005-03-29 16:21:33 -------
(In reply to comment #1)
> register_globals = On
> 
> выключать нельзя. Если это сделать, то у очень многих пользоваетелей
> перестанут работать прогрммы.

Тогда это не "программы", а поделия.  Тем более что по умолчанию в php > 4.2.0
оно выключено и описано в документации.  И есть сто тыщщ мульёнов ссылок с
рассказами почему так делать нельзя и как правильно...

А так получается что умолчательная установка php делает более возможной
cross-site scripting атаку на произвольное приложение.
------- Comment #3 From 2005-03-29 16:28:02 -------
гм. "очень многие" смогут раскомментировать, и будут сами себе доктора. а
поощрять раздолбайство умолчальными настройками - плохо. тем более в php, на
котором пишут, в основном, люди неадекватные. до кретинизма.
------- Comment #4 From 2005-03-29 16:53:04 -------
Я давно хочу делать все наоборот т.е. по умолчанию php.ini будет с закрученными
всеми гайками, а в /usr/share/php-ХХХ будет лежать конфиг такой как  сейчас.
Таким образом для того чтобы сделать сервер уязвимым будет нужна сознательная
механическая работа админестратора. 

Вообщем считай что критическая масса набрана. В следующей сборке я попробую это
реализовать (постараюсь через control).
------- Comment #5 From 2005-03-29 16:57:01 -------
Вот-вот, именно так.

Не знаю, катит ли это для updates?  Хотелось бы...
------- Comment #6 From 2005-05-27 15:54:30 -------
Исправлено.
Добавлена поддержка control с разными вариантами конфигураций.