Selbst wenn man nicht Admin ist, kann man im Content durch das php-skript die DB-Zugangsdaten erfahren:
<?php echo "User / Passwort: ".TYPO3_db_username." / ".TYPO3_db_password; ?>
Wie bewertet ihr das ?
Selbst wenn man nicht Admin ist, kann man im Content durch das php-skript die DB-Zugangsdaten erfahren:
<?php echo "User / Passwort: ".TYPO3_db_username." / ".TYPO3_db_password; ?>
Wie bewertet ihr das ?
[quote="steffenk"]Selbst wenn man nicht Admin ist, kann man im Content durch das php-skript die DB-Zugangsdaten erfahren:
...[/quote]
Rhetorische Frage:
Ich nehme an, Du hast das zuallererst der entsprechenden Typo3 Usergroup gemeldet damit die sich damit befassen und Stellung nehmen, es Dir womöglich erklären, bzw. sonst irgendwas tun können, [b]bevor[/b] Du diese nette Anleitung hier in alle Welt hinausposaunt hast?
Wenn es wirklich so ein grosses Sicherheitsloch ist, warum wirds dann nicht vorruebergehend von einem Moderator unkenntlich gemacht?
[quote="Patrick S."]
Wenn es wirklich so ein grosses Sicherheitsloch ist, warum wirds dann nicht vorruebergehend von einem Moderator unkenntlich gemacht?
[/quote]
Warum sollte ein Moderator denn sein eigenes Posting unkenntlich machen? ;) ;) ;)
Weil er vielleicht selber nicht daran gedacht hat, dafuer koennte das ja ein Kollege uebernehmen. :)
Moechte gerne Schlimmeres vermeiden.
Sehe ich nicht als direktes Sicherheitsloch.
Wie soll denn ein Skript, daß über php_page_content ausgeführt wird, Zugriff auf die Datenbank haben? Ich könnte einen weiteren DB-Nutzer anlegen und den dann in Klartext in php_page_content schreiben....
Vielmehr sollte man sich überlegen, wem man Zugriff auf php_page_content gibt.
In vielen Konfigurationen wird man auch nicht an einem exec('rm -rf *') gehindert, was ich für kritischer halte.