#6344 – Недостаточно жёсткие настройки по умолчанию

Bug 6344 - Недостаточно жёсткие настройки по умолчанию

Summary: Недостаточно жёсткие настройки по умолчанию

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	mod_php (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P2 critical
Assignee:	Alexey Gladkov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2005-03-29 11:11 MSD by Sir Raorn
Modified:	2005-07-15 10:54 MSD (History)
CC List:	0 users

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Sir Raorn 2005-03-29 11:11:59 MSD

В поумолчательных конфигах присутствуют следующие поумолчательные опции:

display_errors = On
log_errors = Off

должно быть наоборот (утечка информации о физическом расположении скриптов,
названиях баз данных и т.п.)

register_globals = On

по умолчанию должно быть выключено

enable_dl = On

в фошшыстской конфигурации тоже неплохо бы выключить.

P.S. Несмотря на большой комментарий в самом начале конфига...

Comment 1 Alexey Gladkov 2005-03-29 16:11:04 MSD

Опцию 
register_globals = On

выключать нельзя. Если это сделать, то у очень многих пользоваетелей перестанут 
работать прогрммы. В пакете есть такой файл:

/usr/share/doc/php-4.3.11/php.ini-recommended

в котором находится конфигурация рекомендуемая разработчиками. 

$ grep '^\(register_globals\|log_errors\|display_errors\) ='
/usr/share/doc/php-4.3.11/php.ini-recommended                                  
                                      
display_errors = Off
log_errors = On
register_globals = Off

но вводить ее по умолчанию к сожалению нельзя.

Comment 2 Sir Raorn 2005-03-29 16:21:33 MSD

(In reply to comment #1)
> register_globals = On
> 
> выключать нельзя. Если это сделать, то у очень многих пользоваетелей
> перестанут работать прогрммы.

Тогда это не "программы", а поделия.  Тем более что по умолчанию в php > 4.2.0
оно выключено и описано в документации.  И есть сто тыщщ мульёнов ссылок с
рассказами почему так делать нельзя и как правильно...

А так получается что умолчательная установка php делает более возможной
cross-site scripting атаку на произвольное приложение.

Comment 3 algor 2005-03-29 16:28:02 MSD

гм. "очень многие" смогут раскомментировать, и будут сами себе доктора. а
поощрять раздолбайство умолчальными настройками - плохо. тем более в php, на
котором пишут, в основном, люди неадекватные. до кретинизма.

Comment 4 Alexey Gladkov 2005-03-29 16:53:04 MSD

Я давно хочу делать все наоборот т.е. по умолчанию php.ini будет с закрученными
всеми гайками, а в /usr/share/php-ХХХ будет лежать конфиг такой как  сейчас.
Таким образом для того чтобы сделать сервер уязвимым будет нужна сознательная
механическая работа админестратора. 

Вообщем считай что критическая масса набрана. В следующей сборке я попробую это
реализовать (постараюсь через control).

Comment 5 Sir Raorn 2005-03-29 16:57:01 MSD

Вот-вот, именно так.

Не знаю, катит ли это для updates?  Хотелось бы...

Comment 6 Alexey Gladkov 2005-05-27 15:54:30 MSD

Исправлено.
Добавлена поддержка control с разными вариантами конфигураций.