PEAR pakete ausfindig machen
koerschgen2001
- php
Hallo,
ich vergleiche immoment verschiedene Webspace Angebote.
Wo kann ich in der phpinfo() ablesen welche PEAR Pakete verfügbar/installiert sind?
Moin,
Hallo,
ich vergleiche immoment verschiedene Webspace Angebote.
Wo kann ich in der phpinfo() ablesen welche PEAR Pakete verfügbar/installiert sind?
Wie kommst Du an die verschiedenen phpinfo ()?
Die wird dir kein Provider freiwillig geben.
Aber: Unter Umständen findest Du folgenden Eintrag in der in phpinfo():
--with-pear=.....'
Ansonsten hilft Dir nur Nachfragen!
Aber Du kannst auch PEAR in dein Projekt integrieren.
Viele Grüße TomIRL
Hallo Freunde des gehobenen Forumsgenusses,
Wie kommst Du an die verschiedenen phpinfo ()?
Die wird dir kein Provider freiwillig geben.
Also meiner hat die auf Nachfrage sofort gezeigt:
http://occuris.de/info.php
Und sonst frage ich mich, was die Provider daran hindern soll,
diese Information zur Verfügung zu stellen.
Gruß
Alexander Brock
Moin!
Lösche das. Du gibst einem potentiellen Angreifer Hinweise auf das System und installierte Programmversionen. Derlei sollte man tunlichst unterlassen.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
Hi,
Lösche das. Du gibst einem potentiellen Angreifer Hinweise auf das System und installierte Programmversionen. Derlei sollte man tunlichst unterlassen.
Wieso das? Die Apache-Version kann ich auch anders rausfinden, die PHP-Version gibt der Provider idR. in seinem Angebot an. Welche Info steht denn in der phpinfo(), die so gefährlich ist, das man diese geheimhalten sollte?
Moin!
Wieso das? Die Apache-Version kann ich auch anders rausfinden, die PHP-Version gibt der Provider idR. in seinem Angebot an. Welche Info steht denn in der phpinfo(), die so gefährlich ist, das man diese geheimhalten sollte?
Alles Dinge, die es einem Angreifer prinzipiell leichter machen bekannte Fehler auszunutzen. Und genau das sollte vermieden werden. Und um noch einfacher zu machen, wird die Seite demnächst (nach dem archivieren) bei Google gefunden. Glückwunsch!
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
echo $begrüßung;
Alles Dinge, die es einem Angreifer prinzipiell leichter machen bekannte Fehler auszunutzen. Und genau das sollte vermieden werden.
Soweit so richtig. Aber security by obscurity, also das Verstecken von Informationen, allein ist auch nicht der Weisheit letzter Schluss.
Du versuchst das Namensschild zu entfernen und übersiehst das offenstehende Fenster.
Als Beispiel: Auch ohne deine phpinfo zu kennen sagt mir der Server deines Providers welche Apache und PHP-Version da läuft (wenn er nicht absichtlich lügt). Den Namen des Providers herauszufinden ist auch kein Problem. Zu googeln, ob jemand, der ebenfalls bei diesem Provider Kunde ist, eine phpinfo rumliegen hat, macht deine Versteckversuche ebenso hinfällig.
Jemand, der gezielt nach Informationen und Lücken sucht und das notwendige Wissen und genug Energie mitbringt, schafft das. Dessen bin ich mir sicher.
Sicher macht man es einem Angreifer schwerer, wenn man diese Information nicht verkündest. Deine Warnung sollte aber nicht so reißerisch daherkommen, dass man schließen könnte, man sei sicherer, wenn man diese Information nicht anzeigt.
echo "$verabschiedung $name";
Hi,
Alles Dinge, die es einem Angreifer prinzipiell leichter machen bekannte Fehler auszunutzen. Und genau das sollte vermieden werden. Und um noch einfacher zu machen, wird die Seite demnächst (nach dem archivieren) bei Google gefunden. Glückwunsch!
Also wenn jemand meinen Server angreifen will, hat der mit sicherheit andere Methoden, als nach ner phpinfo() zu suchen. Ich hab seit ca. nem Jahr ne phpinfo() auf meinem Rechner, aber in der Zeit sogar einen Angriff weniger. Das Jahr davor waren es ca. 20 Angriffe, das Jahr drauf (wo dir phpinfo() schon drauf war, waren es 19.
Also zeigt mir das, das diese Info, die mit sicherheit auch bei Google zu finden ist, die hacker gar nicht interessiert. Ich hab auch keine Zugriffe auf diese Datei, die von Hackern stammen. Ich kontrollier meine Logfiles grundsätzlich nach nem Angriff
Hallo Freunde des gehobenen Forumsgenusses,
Lösche das. Du gibst einem potentiellen Angreifer Hinweise auf das System und installierte Programmversionen. Derlei sollte man tunlichst unterlassen.
Diese Datei liegt da seit etwa 2 Monaten. Den Link habe ich bekommen,
als ich danach gefragt habe (da war ich noch kein Kunde).
Wenn man nach "occuris phpinfo" sucht findet man die Seite sofort.
Ich kann mir nicht vorstellen, dass das kein Zufall ist.
Außerdem können alle Kunden jedes Providers eine solche Seite hochladen.
Gruß
Alexander Brock
Hallo TomIRL,
Wie kommst Du an die verschiedenen phpinfo ()?
Die wird dir kein Provider freiwillig geben.
Warum nicht? Auch meiner verlinkt sie öffentlich in der FAQ.
Aber: Unter Umständen findest Du folgenden Eintrag in der in phpinfo():
--with-pear=.....'
Auch der include_path könnte Hinweise auf den Ort der PEAR geben - welche Pakete vorhanden sind, wird aber auch dort nicht stehen - da hilft nur nachfragen.
Grüße aus Nürnberg
Tobias
Hi!
ich vergleiche immoment verschiedene Webspace Angebote.
Wo kann ich in der phpinfo() ablesen welche PEAR Pakete verfügbar/installiert sind?
Praktisch gar nicht, da die PEAR-Pakete in jedem beliebigen Verzeichnis liegen können. Aus diesem Grunde solltest du dich am besten an den jeweiligen Provider wenden.
Grüße,
Fabian St.
Moin,
Hi!
ich vergleiche immoment verschiedene Webspace Angebote.
Wo kann ich in der phpinfo() ablesen welche PEAR Pakete verfügbar/installiert sind?Praktisch gar nicht, da die PEAR-Pakete in jedem beliebigen Verzeichnis liegen können. Aus diesem Grunde solltest du dich am besten an den jeweiligen Provider wenden.
Naja theoretisch ist Deine Antwort richtig, praktisch wird PEAR sofern vorhanden mit kompiliert.
TomIRL
Hi!
Praktisch gar nicht, da die PEAR-Pakete in jedem beliebigen Verzeichnis liegen können. Aus diesem Grunde solltest du dich am besten an den jeweiligen Provider wenden.
Naja theoretisch ist Deine Antwort richtig, praktisch wird PEAR sofern vorhanden mit kompiliert.
Der Parameter »--with-pear=DIR« beim ./configure Aufruf bewirkt lediglich, dass das PEAR-Basis Paket installiert wird, was zwar für viele andere PEAR-Pakete notwendig ist, aber eben nicht für alle. Darüber hinaus habe ich koerschgen2001 so verstanden, dass ihn insbesondere interessiert, welche einzelnen PEAR-Pakete installiert sind und diese Informationen lässt sich nicht in der Ausgabe von phpinfo() finden, wobei ich mich genauso wie du frage, woher er die phpinfo() bekommt ...
Grüße,
Fabian St.
echo $begrüßung;
[...] praktisch wird PEAR sofern vorhanden mit kompiliert.
Da wird nichts kompiliert. Die PEAR-Klassen sind ganz normales PHP.
Auf alle Fälle würde ich mich nicht auf die beim Provider installierte Version verlassen, sondern die Versionen der Pakete mit denen ich das Projekt entwickelt und getestet habe (und in denen ich gegebenenfalls Fehler korrigiert habe) zusammen mit den Projekt-Dateien installieren.
echo "$verabschiedung $name";
Auf alle Fälle würde ich mich nicht auf die beim Provider installierte Version verlassen, sondern die Versionen der Pakete mit denen ich das Projekt entwickelt und getestet habe (und in denen ich gegebenenfalls Fehler korrigiert habe) zusammen mit den Projekt-Dateien installieren.
Man kann natürlich das Paket in ein Verzeichnis packen und in jeder require_once Anweisung darauf verweisen. Aber irgendwo in dem Paket wird dann eine Funktion aufgerufen dei der Provider gesperrt hat.
Wenn der Provider das selber nicht hat wird meistens auf die ausführung verhindert.
Klappt theoretisch aber praktisch...hmmm
echo $begrüßung;
Man kann natürlich das Paket in ein Verzeichnis packen und in jeder require_once Anweisung darauf verweisen. Aber irgendwo in dem Paket wird dann eine Funktion aufgerufen dei der Provider gesperrt hat.
Wenn der Provider das selber nicht hat wird meistens auf die ausführung verhindert.
Den Sinn des letzten Satzes verstehe ich nicht.
Wenn der Provider Funktionalität sperrt wird der seine Gründe haben. Für mich wäre das ein Grund, diesen Provider zu verlassen. Wer seinen Kunden nicht traut ist für mich nicht vertrauenswürdig.
Außerdem ist disable_funktions eine Einstellung in der globalen php.ini. Die gilt für die Kundenscripte genauso wie für die vom Provider bereitgestellten Scripte.
echo "$verabschiedung $name";
Man kann natürlich das Paket in ein Verzeichnis packen und in jeder require_once Anweisung darauf verweisen. Aber irgendwo in dem Paket wird dann eine Funktion aufgerufen dei der Provider gesperrt hat.
Wenn der Provider das selber nicht hat wird meistens auf die ausführung verhindert.
Klappt theoretisch aber praktisch...hmmm
Ich würde den include Pfad auf das Pear Verzeichnis legen, ansonsten mußt DU vermutlich tasächlich alle PEAR Klassen umbauen.
Hi,
Wenn der Provider das selber nicht hat wird meistens auf die ausführung verhindert.
Der Provider verhindert die Auführung von PHP (Die PEAR-Klassen sind nichts anderes)?
Sag mir mal, wer das macht, damit ich weiss, welchen ich nie empfehlen werde.
Hi,
ich vergleiche immoment verschiedene Webspace Angebote.
Wo kann ich in der phpinfo() ablesen welche PEAR Pakete verfügbar/installiert sind?
Du kannst nur Feststellen, ob ein bestimmtes Paket installiert ist, wenn du versuchst es in ein Script einzubinden und den Erfolg zu prüfen.