Hallo Sven,

Es wäre zwar wohl grundsätzlich möglich, auch einen HTTP-Server mit wechselnden, je nach Login-Daten unterschiedlichen, UIDs laufen zu lassen - da man sich bei HTTP aber nicht einloggen kann, weil es in diesem Protokoll keine dauerhaft aufgebaute Verbindung gibt (im Gegensatz zu FTP zum Beispiel), dürfte das irgendwie schwierig werden.

suexec macht aber genau das.

Außerdem: Wenn der Webserver mit den gleichen Rechten Zugriff auf die Dateien hat wie deren Ersteller, dann wäre das durchaus ein gewisses Risiko für die Dateien. Denn der Ersteller hat in der Regel Schreibrechte, damit er die Dateien ändern/erneuern kann - der Webserver soll sie aber in der Regel nur lesen und ausliefern, benötigt also keine Schreibrechte.

Bei serverseitigen Anwendungen braucht er oftmals eben doch Schreibrecht.

Und wieviele Postings hatten wir hier schon, die dann genau an dem Problem gescheitert sind, daß sie ihre via CGI angelegten Objekte dann via FTP nicht bearbeiten konnten, weil diese mit den Berechtigungen des Webservers angelegt wurden?

Ich bin heilfroh, daß ich einen Server-Account mit suexec habe und deshalb identische Zugriffsrechte via HTTP und FTP.

Es reicht deshalb aus, wenn der Webserver nur mit Gruppen- oder Welt-Zugriffsrechten arbeitet.

Und wie willst Du dann die Dateien eines Kunden gegenüber Zugriffen von CGI-Programmen anderer Kunden auf demselben Server schützen?
a) Eine Gruppe pro Kunde? Das scheitert am administrativen Aufwand (und womöglich an einer Betriebssystem-Begrenzung).
b) Alle Kunden in eine gemeinsame Gruppe? Dann kann jeder andere Kunde meine Dateien lesen und schreiben - nein, danke.

Viele Grüße
      Michael