Warnung vor PHP 4.2.3!

Thomas Berger ThB at gymel.com
So Nov 24 00:23:02 CET 2002


Heinrich Allers wrote:


> Soweit ich es verstehe, müßte die Entwicklungsabteilung jetzt überlegen, ob ein Hinweis auf
> eine gegebenenfalls erforderliche Änderung in der Datei php.ini in die Installationsanleitung
> aufgenommen wird, oder ob sie es vorzieht, in den Skripten die Formularvariablen explizit zu
> importieren.

Die geaenderte Voreinstellung in den neueren Versionen von
PHP ist nicht willkuerlich, sondern steuert einem Risiko
entgegen, auf das schon seit langem hingewiesen wurde 
(vgl. < http://www.kb.cert.org/vuls/id/847803 >)

Exzerpt aus < http://www.php.net/manual/de/security.registerglobals.php
>:
>>>
Verwendung von Register Globals
Ein Feature von PHP zur Erhöhung der Sicherheit ist die Konfiguration
von PHP mit register_globals = off. Mit Deaktivierung der Möglichkeit,
irgendeine vom Benutzer übertragenen Variable in den PHP Code zu
injizieren, können Sie die Anzahl "vergifteter" Variablen reduzieren,
welche ein potentieller Angreifer zufügen könnte. Dieser benötigt mehr
Zeit, um sich Übermittlungen auszudenken, und Ihre internen Variablen
sind effektiv von den übergebenen Benutzervariablen isoliert. 

Während dies den benötigten Aufwand mit PHP zu arbeiten leicht erhöht
ist dargelegt, dass die Vorteile gegenüber dem Aufwand klar überwiegen
<<<

Ich glaube daher nicht, dass die Entwicklungsabteilung guten
Gewissens den Anwendern raten kann, register_globals auf "on"
zu setzen (obwohl es in der Tat nicht so aussieht, als waere
der derzeitige phpac-Code von dieser "Vulnerability" betroffen).

viele Gruesse
Thomas Berger




Mehr Informationen über die Mailingliste Allegro