Moin!

use Mosche;

Allerdings heißt "Welt" jetzt nicht, dass jeder x-beliebige Besucher dann direkt die Datei bearbeiten kann - "Welt" bedeutet nur jeder x-beliebige Besucher, der *Zugang* zum Webserver hat.

Bzw. (etwas genauer), jeder, der sich irgendwie am Server einloggen kann.

Stimmt alles beides aber leider so genau dann auch nicht.

"Welt", oder auch "Gruppe" und "User" bezieht sich nur auf das "Universum" des Servers - weswegen "Welt" eigentlich auch ganz schlecht formuliert ist, besser wäre "Andere".

Die Dateisystemrechte gelten für alle Zugriffe auf die Dateien, wobei ein Zugriff immer von irgendeinem Prozess erfolgt, der im System läuft und wärend dieses Ablaufs zwingend unter einer User-ID und einer Gruppen-ID rennt, die auch für die Prüfung der Zugriffsrechte genutzt wird.

Der Apache-Prozeß läuft also unter einer bestimmten UID und GID. Wenn diese IDs irgendwie mit denen der Datei übereinstimmen, gelten die Zugriffsrechte für die Gruppe oder sogar den User - wenn nicht, gelten die Rechte für "Andere".

Zugang zum _Web_server (Apache) hat quasi jeder, der irgendwie HTTP spricht

Richtig, aber da es beim Dateizugriff auf die UID/GID des _Webservers_ ankommt, ist die Aussage "Welt sind die Zugriffsrechte fürs Internet" falsch. Das hat auch nichts direkt mit "am Server einloggen" zu tun.

Wer sich einloggen kann, der startet in irgendeiner Weise wieder einen Prozess, der ihn übers Netzwerk mit irgendeiner Interaktivität versorgt. Dieser Prozess läuft natürlich mit einer UID/GID, vorzugsweise mit der, als der man sich eingeloggt hat (Telnet, SSH oder FTP machen das). Wenn man also einen Account hat, gelten für die eigenen Dateizugriffe mit Sicherheit andere Rechte aufgrund anderer Zugehörigkeiten, als bei Zugriffen des Webservers.

Es wäre zwar wohl grundsätzlich möglich, auch einen HTTP-Server mit wechselnden, je nach Login-Daten unterschiedlichen, UIDs laufen zu lassen - da man sich bei HTTP aber nicht einloggen kann, weil es in diesem Protokoll keine dauerhaft aufgebaute Verbindung gibt (im Gegensatz zu FTP zum Beispiel), dürfte das irgendwie schwierig werden.

Außerdem: Wenn der Webserver mit den gleichen Rechten Zugriff auf die Dateien hat wie deren Ersteller, dann wäre das durchaus ein gewisses Risiko für die Dateien. Denn der Ersteller hat in der Regel Schreibrechte, damit er die Dateien ändern/erneuern kann - der Webserver soll sie aber in der Regel nur lesen und ausliefern, benötigt also keine Schreibrechte. Es reicht deshalb aus, wenn der Webserver nur mit Gruppen- oder Welt-Zugriffsrechten arbeitet.

- Sven Rautenberg