Добрый день!
Писал другой вопрос,но пока писал появилась другая проблема!
Пришлось поставить пермисион на 0777 и теперь думаю может проблемы какие нибудь будут.

Кто сталкивался с проблемами из за 777?? И как бороться с этим??

Призрак вьетнамской фиолетовой груши покарает твой сервер.
Ну блин, неужели сложно нормально задать вопрос? Где права, что за приложение, файлы и т.д.

nerezus, вопрос написан конкретно:

Тогда можешь считать первую строку моего предыдущего поста конкретным и верным ответом.

nerezus, Тебе что делать нечего? Можешь проходить этот пост стороной?

NNaarreekk,  а nerezus  прав. Ты даже не сказал на что 0777 выставил на папку, на php, js, txt  файл. Что за преложение?  Постоено на html файлах (не исполняемые файлы) или php (исполняемые).

Если приложение на html (не исполняемые файлы) и нет возможности записи в папку или в файл из этого приложения, а так же нет возможности подключения в эти файлы стороних скриптов - призрака вьетнамской фиолетовой груши  можно не бояться.

Это сообщение отредактировал(а) capitan - 15.10.2009, 12:35

Проблемы из-за 777 бывают и выражаются в несанкционированном доступе к их содержимому. Не советую выставлять на все файлы 777

capitan, в конкретном моем случае поставлена на папку, но мне хочеться понять в целом почему не стоит ставить 777. Много раз слышал что это не хорошо но ни разу слышал конкретно почему это не хорошо.

Я загружал файл который загружался но в папке не появлялся (у папки было разрешение 775), изменил на 777 все сработало.
Хотя на сайте есть и РНР скрипты с таким разрешением.




icewind, а у тебя бывали  реальные случаи такого??

NNaarreekk, Ну вот предположим есть у тебя самописный сайт. Сам сайт разбит на папки, в одной из которых и хранятся все главные пхп-файлы. Например эта папка называется bin. Так вот, если ты установишь на неё права 0777, то любой пользователь сможет увидеть содержимое этой папки, скачать все файлы и т.д. Как ты думаешь - увеличивается ли возможность взлома сайта, когда злоумышленник имеет доступ ко всем файлам?

Простой пример - все смайлы на винграде хранятся в папке ./emoticons/pack/ на сервере. А теперь попробуй открыть эту папку - http://forum.vingrad.ru/html/emoticons/pack/. Получилось?

Права 0777 позволяют записывать в папку. Как ты сам сказал, ты пишешь в папку через скрипт. Например у тебя скрипт скачивает удаленный файл по урлу и записывает его в папку. Если я подменю урл на свой, могу влить шел со всеми вытекающими.... Но это уже дырявый скрипт.

UniBomb  просмотр папок зависит от настроек сервера. Или от настроек .htaccess

Чтобы пользователь не видел список файлов в папке, при отсутствии в ней индексного файла, добавим строчку:
Options -Indexes

Это сообщение отредактировал(а) capitan - 15.10.2009, 13:24

icewind, а 0666 несанкционированному доступу препятствует?


UniBomb, извините, вы совсем не понимаете того, о чем пишете. приведенный пример к правам на файлы не имеет никакого отношения.

capitan, Ипатьев, ступил    Я не о том задумался кода писал   

ты про скачивание или закачивание?
Если про закачку, то причем тут права папки,если ты сможешь изменить урл он по любому загрузится, нет??

Такой пример:
Уменя есть сайт mydomain1.com/papka/- у папки права 777

и второй сайт mydomain2.com ..... Смогу ли я закачать с второго сайта файл на первый в эту папку?

Скажем:


Или что-то подобное??

Ипатьев, 644 препятствует. Файлы, которые залил сам с правами апача (через другой скрипт) изменить не получится.
NNaarreekk, ставить 777 нужно только на папку куда идет загрузка пользовательского контента.

Я таких вещей не делаю. Но если бы тебе действительно было интересно, то немного порывшись в сети ты бы нашел реальные примеры атак

icewind, ну вот в том-то и дело, что nerezus прав на 100% - все зависит от конкретных условий. И на большинстве дешевых хостингов 777 на папку - необходимость. И 666 на файлы. Если речь о файлах данных. О которых, я уверен, говорит автор топика. 
А о скриптах тут речь вообще не идет. Поскольку, опять же, по умолчанию подразумевается mod_php.

Судя по последнему посту, проблемы непременно будут.


Учить самые основы HTTP протокола и ACL в файловых системах *nix'ов. А так же upload файлов в PHP.

Это сообщение отредактировал(а) sTa1kEr - 15.10.2009, 14:41

Возможно я просто не так понял суть вопроса... Естественно я не спорил что степень опасности зависит от конкретных условий. Но так как четкого вопроса не было, то я лишь сказал что может возникнуть неприятная ситуация.

 К твоему сведению я здесь модератор.
На мое желание помочь с наводящим вопросом обрисовать положение дел ты ответил грубостью.
За что тебе +.


К прочтению обязательно: http://ru.wikipedia.org/wiki/Chmod
После этого формируешь вопрос, и только потом задаешь.

Блин почему мне всегда попадаются модеры которые считают себя премьер-министрами!  

Всем спасибо за помощь, тема закрыта, а то чувствую скоро вылечу из винграда!

Я, пожалуй, подытожу.
Проблема из серии "слышал звон, да не знаю, где он".

В подавляющем большинстве случаев проблемы никакой нет вовсе. По умолчанию 0777 (на папки) и 0666 (на файлы) никогда не ставится. 
Если выставляется - то только руками, и только в том случае, если что-то не работает и без таких прав не обойтись. 
При этом да, мы даем доступ к нашим файлам соседям по хостингу. Но хостинг же мы сами себе покупали. Вариантов-то все равно других нет. 

Теоретическую опасность может представлять 0777 на заливаемые пользователями файлы. Но я не представляю себе ситуацию, в которой такие права могли бы понадобиться. То есть, этого просто следует избегать. 

И в первую очередь пользоваться хостингом, у которого веб-сервер стартует от имени юзера. 

...по собственной безграмотности.


Если все скрипты выполняются под одним серверным uid'ом и необходимо, что бы он имел доступ на запись к какому-либо файлу, то этот файл создается скриптом и никакие 0777 здесь не нужны (и вообще ставить пермишен +x на не исполняемый файл - это верх безграмотности!). Однако если для php не включен safe_mode, то любой сосед все равно сможет получить доступ к этому файлу, даже если у него пермишены на все файлы 0600. Единственное, можно для директорий снять флаг на чтение, тогда по крайней мере сосед не сможет получить список файлов (впрочем, как и сервер).

Вы что подождали чтоб я тему закрыть и только решили умные вещи написать??))



Я разве говорил что это не так? Это кажется мои слова:




А как это проверить??



.jpg .gif .png



Для юзера, группы или гостей??