Moin!

Aus der Apache-Doku: „The default was changed from All to FollowSymlinks in 2.3.11“.

Mag sein, dass dieses die Voreinstellung ist, wenn man nichts angibt. Nur, wenn ich mir einen Apache installiere, dann steht in den mitgelieferten Konfig-Dateien meiner Erinnerung nach stets

Options none

Das darf kein Grund für schlechtere Sicherheit sein und wäre ernsthaft eine lächerliche Microoptimierung.

So ganz "mikro" wird das wohl nicht sein wenn täglich ein paar Millionen Mal auf einem derart großen Server (da sind zigtausend vhosts drauf) wie von Strato diverse Pfade abgehechelt und auf Links untersucht werden. Im Übrigen sperre ich die lib-Dirs nochmal explizit, damit ich nicht das Opfer von versehentlichen Fehlkonfigurationen werde.

Dennoch befürchte ich, dass Strato durch die unerwartete Konfiguration selbst an der Schaffung von Problemen mitwirkt. Es geht darum, dass es wohl genug PHP-Progger (erst recht einfache Kunden) geben wird, die von dieser Besonderheit der Strato-Konfiguration und von der Auswirkung nichts wissen. Und da sehe ich Strato dann doch in der Verantwortung. Zumal ich keinen trefflichen Grund sehe, den Symlinks in der Konfiguration zu folgen. Das erscheint mir so nötig wie ein Kropf.

Jörg Reinholz