Ograniczenie zastosowania połączeń symbolicznych

Połączenia symboliczne to coś w rodzaju aliasów, kolejnych wystąpień tego samego pliku w in­nym miejscu drzewa katalogów. Jeżeli w systemie operacyjnym połączenie tego typu zostanie utworzone do strony HTML, może ono zostać wykorzystane w adresie URL i ser­wer bez żadnych problemów odczyta taki plik.

Jeżeli wykorzystujesz serwer CERN HTTPD, nic nie stoi na przeszkodzie, aby twórcy pre­zentacji prowadzili połączenia symboliczne ze swoich stron do plików, które mogą znajdo­wać się w dowolnych miejscach drzewa katalogów, przez co są one dostępne praktycznie dla każ­dego użytkownika WWW. Projektowanie tworzenie stron internetowych. W zależności od Twojego podejścia do sprawy udostęp­niania plików na zewnątrz, możesz traktować to jako wadę lub jako kolejną opcję programu.

W serwerze NSCA istnieje możliwość wyłączenia przetwarzania połączeń symbolicznych. Nie oznacza to, że połączenia te zostaną usunięte, będą one dalej istniały, są bowiem zdefinio­wane w systemie operacyjnym, lecz serwer WWW nie będzie ich odczytywał. Aby to zrobić, należy usunąć zapis FollowSymLinks z pliku access.conf (więcej na temat tej opcji dowiesz się z dalszej treści tego rozdziału). Inna opcja, SymLinksOwnerMatch, pozwa­la na przetwarza­nie połączeń symbolicznych tylko wtedy, gdy właścicielem pliku i połącze­nia jest ten sam użyt­kownik. Jest to bezpieczniejsza metoda, która ogranicza wykorzystanie połączeń symbolicz­nych w obrębie drzewa katalogów jednego użytkownika.

Mechanizm SSI ze względu na swoje możliwości stanowi jedną z największych luk w bez­pieczeństwie serwerów WWW (szczególnie chodzi tu o polecenie exec, pozwalające na uru­chamianie skryptów). W ten sposób bardzo różne dane są przekazywane „w locie” na zew­nątrz przez serwer WWW, a Ty możesz łatwo stracić kontrolę nad tym procesem, nie możesz także przewidzieć, jaki będzie skutek takiej operacji dla systemu.

Jeżeli jednak zdecydujesz się na korzystanie z SSI, możesz ograniczyć wykorzystanie tego mechanizmu, zabraniając wykonywania polecenia #exec, służy do tego opcja IncludesNoExec. Pozwala to wciąż na wykonywanie prostych poleceń, takich jak #include lub #echo, uniemożliwia jednak uruchamianie skryptów, co wydatnie zwiększa bezpieczeń­stwo, nie ograniczając przy tym zupełnie możliwości SSI.

Reklamy
  1. No trackbacks yet.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Reklamy
%d blogerów lubi to: