EnTeQuAk hat geschrieben:Es geht hier ja Hauptsächlich darum, wie man eine Webapplikation, die auf einem shared webspace liegt so sicher wie möglich machen kann, mit oben genannten Problemen, das man gerne einen Ordner haben möchte, der Schreibrechte benötigt, dies aber eventuell umgehen möchte, sollte dies ein zu hohes Risiko darstellen.
Eine Sicherheit vorzutäuschen die nicht durch Sicherheitsexperten eingehend geprüft wurde sondern nur auf theoretischen Überlegungen (und seinen sie auch noch so gut gemeint und durchdacht) basiert haöte ich für ein ebensolches Sicherheitsrisiko. Man sollte lieber den Usern sagen, dass die Server in einer unsicheren Konfiguration laufen und dass sie die Provider bitten sollen, da was dran zu ändern. Eine do-it-yourself-Lösung bietet hingegen eine gute Ausrede um nichts an der Situation zu änbdern, sondern sich auf solch eine Sicherheit zu verlassen.
EnTeQuAk hat geschrieben:Wer das Glück hat, wie du (oder ich) einen eigenen Root-Server (oder vServer) zu haben (ich denke mal, das hast du oder?), der kann sich so oder so selber absichern, was bei einem Webhoster nur durch diesen selber möglich ist.
Eben. Und da das Problem auf seiten der Webhoster liegt, sollte es auch von diesen korrigiert werden, statt das Problem auf andere abzuwälzen. Seien es nun die Entwickler, die etwas programmieren müssen, was suEXEC mangelhaft zu ersetzen versucht oder User die dann eben gehackte Webapps haben.
EnTeQuAk hat geschrieben:Nur kann man denke ich kein Suexec voraussetzen. Auch, wenns mehrere haben. Noch lange nicht alle.
Python kann man auch nicht vorraussetzen. Rails konnte man vor kurzem auch nicht mal erwähnen. Aber es hat sich herausgestellt, dass User nach sowas fragen und es gibt auch Hoster die sich eine gute Reputation verdient haben, indem sie eben auf die Wünsche der Kunden eingehen und durch Mund-zu-Mund-Propaganda (nicht zu unterschätzen!) mehr und mehr Kunden bekommen haben. Die Provider muss man aber nun leider oft zu etwas zwingen. In denke darüber habe ich in ähnlichem Kontext schon mal geschrieben.
EnTeQuAk hat geschrieben:Wie unsicher ist es denn nun, einen ORdner nur, für Statische Dateien, wie Bilder etc. schreibbar zu machen?
Was soll groß passieren?
Goatse. Finden Firmenkunden die deine Seite ansurfen nicht so lustig.