Existe alguma segurança com o suPHP?
Fiz essa pergunta há um tempo e, apesar de oferecer várias recompensas, nunca recebi muita resposta (consulteaqu). De maneira mais geral, quero saber se existe algum conceito de segurança com o suPHP? O que impede alguém de ir para
www.example.com/rm-f-r.php
o
www.example.com/return_some_iamge.php
Como esses scripts são executados com os privilégios do usuário, são essencialmente acessos garantido
EDITA Para elaborar o exposto, meu problema é conceitual. Suponha que temos um arquivo em/home/user/test.php
. Deixe este arquivo fazer qualquer coisa rm -f -r /
, busque e retorne uma foto, reinicie o computador ...) Se eu apontar meu navegador para esse arquivo (assumindo que a pasta que contém é um site habilitado no Apache), como digo ao navegador para permitir apenas que o proprietário desse arquivo seja executado isto
EDIT 2: Eu nunca declarei isso explicitamente, pois presumi que o suPHP é usado apenas com apache (por exemplo, navegadores da web), mas estou falando sobre a autenticação de usuários do linux com apenas um navegador. Se não autenticarmos, alguém tecnicamente terá acesso a qualquer script no servidor (com sites, isso não é um problema, pois eles sempre têm permissões definidas como0644
, então essencialmente o mundo inteiro pode ver. Arquivos PHP, por outro lado, têm permissões geralmente definidas como0700
)