07. 02. 2006, 22:40
Selbst wenn man nicht Admin ist, kann man im Content durch das php-skript die DB-Zugangsdaten erfahren:
Wie bewertet ihr das ?
Ist das nicht ein riesiges Sicherheitsloch ?
-
-
-
-
-
0 x08. 02. 2006, 10:49
[quote="steffenk"]Selbst wenn man nicht Admin ist, kann man im Content durch das php-skript die DB-Zugangsdaten erfahren:
...[/quote]Rhetorische Frage:
Ich nehme an, Du hast das zuallererst der entsprechenden Typo3 Usergroup gemeldet damit die sich damit befassen und Stellung nehmen, es Dir womöglich erklären, bzw. sonst irgendwas tun können, [b]bevor[/b] Du diese nette Anleitung hier in alle Welt hinausposaunt hast? -
-
0 x08. 02. 2006, 11:22
Wenn es wirklich so ein grosses Sicherheitsloch ist, warum wirds dann nicht vorruebergehend von einem Moderator unkenntlich gemacht?
-
-
0 x08. 02. 2006, 11:24
[quote="Patrick S."]
Wenn es wirklich so ein grosses Sicherheitsloch ist, warum wirds dann nicht vorruebergehend von einem Moderator unkenntlich gemacht?
[/quote]Warum sollte ein Moderator denn sein eigenes Posting unkenntlich machen? ;) ;) ;)
-
-
0 x08. 02. 2006, 11:34
Weil er vielleicht selber nicht daran gedacht hat, dafuer koennte das ja ein Kollege uebernehmen. :)
Moechte gerne Schlimmeres vermeiden. -
-
0 x08. 02. 2006, 15:32
Sehe ich nicht als direktes Sicherheitsloch.
Wie soll denn ein Skript, daß über php_page_content ausgeführt wird, Zugriff auf die Datenbank haben? Ich könnte einen weiteren DB-Nutzer anlegen und den dann in Klartext in php_page_content schreiben....
Vielmehr sollte man sich überlegen, wem man Zugriff auf php_page_content gibt.
In vielen Konfigurationen wird man auch nicht an einem exec('rm -rf *') gehindert, was ich für kritischer halte. -
