Modul-Verwaltung: Direktes Einbinden der modinfo.inc.php ein Sicherheitsleck?

Begonnen von k00ni, 01. März 2008, 16:11:50

Vorheriges Thema - Nächstes Thema

k00ni

In der mod.php im Ordner \"admin\" wird direkt die modinfo.inc.php per include \"eingebunden\":
 

include(\"$pdir_mod/$dat/modinfo.inc.php\");

 
 
Meine Frage ist nun, ob das zu Sicherheitsproblemen führen könnte? Man stelle sich ein kompromitiertes Modul vor und der ahnungslose User bindet es ein.
Bei der Installation dasselbe. Dort wird direkt die modinstall.inc.php eingebunden.
Es ist der einfachste Weg. Nur die Frage ist, in wie weit das zu Problemen führen könnte.

Powie

Tja, ...... wenn du davon ausgehst, sobald du ein \"böses\" Modul eingebunden hast, ist es wohl egal ob er die modinfo.inc.php includet oder andere Files daraus installiert und / oder ausführt. In dem Fall ist jedes php Script aus deiner Sicht ein Sicherheitsleck.
Dagegen hilft dann nur: Kein php verwenden!  /uploads/emoticons/icon_e_wink.gif.c059000ae48ff64afa53be0962c021f2.gif\" alt=\":wink:\" />

In der mod.php im Ordner \"admin\" wird direkt die modinfo.inc.php per include \"eingebunden\":[/quote]
Das ganze Konstrukt dort ist kein Sicherheitsproblem - zumindest nicht so lange kein malizöser Code in $pdir_mod/$dat/ abgelegt werden konnte. Aber das Konstrukt ist ziemlich pointless und doppelt anfällig für Race Conditions.

k00ni

Aber das Konstrukt ist ziemlich pointless und doppelt anfällig für Race Conditions.[/quote]
Was schlägst du vor?


all your base are belong to us / Discord