2006/02/14

Dreamhost 的安全性問題(二)似乎解決了?

還沒等到 Dreamhost 的回覆...(2006.02.13.)
但是今天發現 Dreamhost 似乎有調整過設定,讓檔案權限是 400 的檔案也可以被 Apache 執行。

上週五發現 Dreamhost 的 bug 之後,我把放有 MySQL 帳號資訊的 php 檔案權限設定成 400 之後,我的 blog 就爛掉了。
可是今天我又再試了一次,把同一個檔案的權限設定成 400,咦?這次竟然可以正常運作!
我以為是我記錯了,但是在公司的伺服器上測試,檔案權限設定成 400 確實會讓 php 無法存取。
因此推斷 Dreamhost 一定有做過若干調整,才會讓檔案權限是 400 的可以被 Apache 讀取。
如此一來,我只要將檔案權限設定成 xx0 就可以不讓其他使用者觀看檔案內容,但又不會影響網站的運作。

不曉得 Dreamhost 是怎麼調整的?很好奇說~

1 則留言:

  1. [...] 再寫了一封去問該怎麼處理,總算聽到 Dreamhost 提供的處理方式(文末有原回覆信件): 把檔案設定成 750 或 751,讓其他使用者無法檢視。 果真如之前測試的結果一樣(Dreamhost 的安全性問題(二)似乎解決了?)。 [...]

    回覆刪除