config.php world lesbar (mode 644)?

phpBB 3.0 hat sein "End of Life" erreicht. Eine Neu-Installation wird nicht mehr unterstützt.
Gesperrt
chriskuku
Mitglied
Beiträge: 126
Registriert: 31.01.2003 13:18

config.php world lesbar (mode 644)?

Beitrag von chriskuku »

Ist das normal, daß config.php mode 644 hat? Jeder soll das Datenbankpaßwort lesen können?

Ich sehe zwar, daß ein .htaccess da ist, das um config.php und common.php ein Deckmäntelchen mit Deny from All drüberlegt, aber lokale Sicherheit ist doch auch wichtig, oder?
Nach oben
Benutzeravatar
Dr.Death
Moderator
Moderator
Beiträge: 17473
Registriert: 23.04.2003 08:22
Wohnort: Xanten
Kontaktdaten:
Kontaktdaten von Dr.Death

Beitrag von Dr.Death »

wenn jemand lokal Zugriff auf den Webserver hat, dann kann er auch ganz andere Sachen damit machen.

Lesen muss sie schon der WebServer können..... und der wird normalerweise nicht als "Root" laufen, sondern nur als "normaler User".
Nach oben
Benutzeravatar
bantu
Server-Team
Beiträge: 7311
Registriert: 25.04.2006 16:12
Wohnort: Karlsruhe

Beitrag von bantu »

Auf einem (Standard-)Apache, der die .htaccess verarbeitet, kann man die config.php auf keinen Fall vom Web aus lesen. Auch wenn PHP nicht registriert ist.
Wenn jemand Zugriff auf den Server und deinen Webspace-Ordner hat, kann er die config.php natürlich lesen (wie z.B. der Webserverbenutzer). Ob du das world-read ohne Probleme entfernen kannst, hängt von der Konfiguration des Webservers ab (bei CGI wird es wohl möglich sein). Kontaktiere bei weiteren Fragen deinen Provider.
Powered by Coffee
Nach oben
Gesperrt

Zurück zu „[3.0.x] Installation, Update und Konvertierung“