پاسخ : سوال درباره مشکل امنیتی هاست پربازدید شرکت هاست ایران ؟
دوست عزیز جدای از اینکه این شرکت در برخی موارد بی ربط حرف زده است؛ در درجه اول اگر تنظیمات سرور درست باشد پرمیشن 777 مشکل یا نهایتا مشکل زیادی برای شما ایجاد نخواهد کرد... در واقع اینطور نیست که بگوییم هر کسی با یک Web Browser می تواند تغییراتی ایجاد کند!! بلکه تنها در صورت داشتن دسترسی به Shell (بصورت local یا بصورت remote توسط SSH که تنها با دارا بودن یک User و دسترسی داشتن این یوزر به استفاده از Shell از نوع کامل یا حتی jailed) و FTP (یا Anonymous FTP غیر فعال نشده باشد و یا یوزر داشته باشد) و ... و یا اسکریپت در حال اجرایی که بصورت غیر ایمن (یعنی بدون بررسی پسوند و نوع فایل و نیز عدم تغییر در نام فایل، عدم تنظیم پرمیشن مناسب جهت Execute نشدن فایل ها و ارایه لینک دانلود مستقیم و ...) و عمومی امکاناتی همچون Upload را داراست، امکان تغییر و دستکاری وجود خواهد داشت... بنابراین تنظیمات جانبی سیستم در این امر تاثیر گذار می باشند.
در ثانی، مشکل از اسکریپت شماست چنانچه دارای تنظیمی برای تغییر مسیر پوشه ذخیره سازی فایل های آپلود شده به پوشه های بالاتر از public_html نیست... و اگر این قابلیت وجود دارد که شما مسیر این پوشه را تغییر داده و به سطوح بالاتر انتقال دهید، مشکل شما از نظر امنیت این مورد برطرف خواهد شد. و نیز اسکریپت شما می توانست طوری نوشته شود که با یک پوشه با پرمیشن پایین تر همچون 755 نیز کار کند.
در حالت suphp و نیز fastcgi که بالاترین سطح امنیت که شامل بررسی Permission ها نیز می گردد را ارایه می کنند، بحث صرفا در مورد فایل های PHP است و نه فولدر ها و ... . ضمن اینکه همواره ایشون می توانند برای همه این فایل ها و فولدر ها هر پرمیشنی را تنظیم کنند، ولی فایل های PHP که پرمیشن خارج از حوزه امنیتی دارند اجرا نگشته و Web Server خطای 403 را صادر می کند. ضمن اینکه هر دوی این ها کنترل Group&Owner را نیز دارا می باشند.نوشته اصلی توسط nginxweb
موفق باشید
