[sbechtel]

Zitat:

Zitat von rennrob

Hängt davon ab auf was man zugreifen kann. Dass man die Systemdateien lesen kann ist, ist nicht nur ungewöhnlich sondern katastrophal. Wenn das geht dann sind die erwähnte PHP Skripte selbst, samt allen sich darin befindlichen Informationen wie Pfade, Hostnamen und wo möglich Passwörter für z.B. Datenbanken ebenfalls ungeschützt.

Das kann man so nicht sagen. /etc/passwd ist auf einem Linuxsystem allgemein zugänglich, hat also standardmäßig für alle Nutzer Leserechte. Ist es nämlich nicht so, dass in der Datei, wie der Name suggeriert, Passwörter stehen würden, dafür ist /etc/shadow da. Wenn ich mir einen V-Server anmiete, bin ich da auch mit tausenden anderen Nutzern drauf und kann die /etc/passwd auslesen, sofern das vom Administrator nicht explizit geändert wurde. Die /etc/shadow Datei hingegen kann ich nicht auslesen.

Dateien, die Passwörter enthalten, sollten wie gesagt keine öffentlichen Leserechte haben. Und das z.B. PHP Dateien einfach so ausgeliefert werden, ist auch nicht sehr wahrscheinlich, da der Server so konfiguriert ist, dass er Dateien mit entsprechendem MIME-Type erstmal durch den Interpreter jagt.

Das dieses Leck natürlich nicht gut ist, ist klar. Aber ich finde es falsch, als Autor mit mangelnder Sachkenntnis Leute zu polarisieren, denen ebenfalls die Sachkenntnis fehlt. Das schafft nur Panik.