Hi Bio,

Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit
bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B.
irgendwelche Parameter unterschieben lässt, die dann dazu führen,
das irgendwelche von Dir bestimmten Befehle ausgeführt werden,

dann wird einer der ersten dieser Befehle einer sein, sich auf der
Maschine umzusehen.

dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt,
weil man sonst nicht weiss, wo eigentlich das eigene Working-Directory
ist

Wie oft muß hier im Forum noch gepostet werden, daß CGI kein zuverlässig
definiertes working directory hat?
Dafür aber ausführliche Informationen über das Environment:
http://aktuell.de.selfhtml.org/artikel/cgiperl/inbetriebnahme/#a18

und evtl. gar nichts bösartiges tun kann.
Aber das wird beim Ultra-Sicheren BSD nicht so wichtig sein...

Das liegt nicht an einem "ultra-sicheren" BSD, sondern an einem vernünfti-
gen Konzept zur Vergabe von Rechten.
Wenn die "interessanten" Informationen in Verzeichnissen liegen, welche
Benutzerkennungen gehören, die sich in Gruppen befinden, zu denen die
Apache-Betriebskennung nicht gehört, dann kannst Du per CGI diese Infor-
mationen nicht lesen - egal, wie genau Du weißt, wo sie stehen.

Sicherheit durch vorheriges Nachdenken ist m. E. um Klassen besser als
"security by obscurity".

Viele Grüße
      Michael