PDA

Bekijk Volledige Versie : phpinfo() op je site



nzyme
12/01/07, 00:27
wat ik me afvraag, kan het kwaad om phpinfo op mn site te zetten ? Het geeft alle instellingen van PHP wat voor devvers natuurlijk belangrijk is, maar geeft het niet TE veel info ? Of is het te beperken of..

liber!
12/01/07, 00:34
Het is eenvoudig te beperken.

Je kan namelijk functies disable'n. Via deze setting: disable_functions 'phpinfo'; in je php.ini te plaatsen.

nzyme
12/01/07, 00:37
ja dat snap ik, maar ik doelde meer op het beperken van de output van phpinfo.. Is dat aan te raden of maakt het geen klap uit dat ik phpinfo op een pagina laat printen ?

frvge
12/01/07, 02:31
ja dat kan. http://nl3.php.net/phpinfo

VinceSTM
12/01/07, 10:22
je bedoelt: de informatie die op de phpinfo pagina komt te staan, bevat die informatie die hackers/crackers/scriptkiddies kunnen gebruiken om mijn systeem schade toe te brengen

right?

Magus
12/01/07, 12:27
Als je het voor developpers moet kunnen tonen of voor je eigen informatievoorziening is het toch gemakkelijk het phpinfo bestandje in een directory te plaatsen met een .htaccess authenticatie?

nzyme
12/01/07, 13:33
je bedoelt: de informatie die op de phpinfo pagina komt te staan, bevat die informatie die hackers/crackers/scriptkiddies kunnen gebruiken om mijn systeem schade toe te brengen

right?

Bingo :)

mijn id is dat het geen kwaad kan, maar wil toch graag wat meer reacties hebben... Het zou idd voor "members-only" kunnen, maar toch is het makkelijker om het gewoon toegankelijk op de site te hebben lijkt me.

systemdeveloper
12/01/07, 13:46
Bingo :)

mijn id is dat het geen kwaad kan, maar wil toch graag wat meer reacties hebben... Het zou idd voor "members-only" kunnen, maar toch is het makkelijker om het gewoon toegankelijk op de site te hebben lijkt me.

Als je versies e.d. van je geïnstalleerde software naar buiten gooit, maak je het derden gemakkelijker om informatie over je server te verzamelen. Simpel.

Een IDS kan al getriggerd kan worden bij een exploit op een versie die je NIET geinstalleerd hebt en zodoende een eventuele wél exploitable versie op je systeem lang genoeg beveiligen zodat je kunt upgraden. Door het adverteren van je versies hoef je eigenlijk alleen maar op de 1ste de beste 0-day remote exploit voor je versie te wachten.

Just my 2 cents.

nzyme
12/01/07, 14:07
Als je versies e.d. van je geïnstalleerde software naar buiten gooit, maak je het derden gemakkelijker om informatie over je server te verzamelen. Simpel.

Een IDS kan al getriggerd kan worden bij een exploit op een versie die je NIET geinstalleerd hebt en zodoende een eventuele wél exploitable versie op je systeem lang genoeg beveiligen zodat je kunt upgraden. Door het adverteren van je versies hoef je eigenlijk alleen maar op de 1ste de beste 0-day remote exploit voor je versie te wachten.

Just my 2 cents.

En dat is juist precies waarom ik de vraag stel. Ik geef wel aan wat de versie van php is (4) en mysql (4.1) maar verder gaat dat uiteraard niet.

Kortom, phpinfo toch maar niet vrijgeven ? Want er zijn genoeg mensen die het WEL aanbieden..

systemdeveloper
12/01/07, 14:16
En dat is juist precies waarom ik de vraag stel. Ik geef wel aan wat de versie van php is (4) en mysql (4.1) maar verder gaat dat uiteraard niet.

Kortom, phpinfo toch maar niet vrijgeven ? Want er zijn genoeg mensen die het WEL aanbieden..
En er zijn ook genoeg mensen hier die root-logins toestaan en gebruikers-directories niet beveiligen en full-managed leveren voor 4 tientjes per maand... vraag is of jij daarbij hoort... :)
phpinfo zou ik hooguit aan klanten toestaan. Even een page met username/pw in hun account hangen en klaar.

nzyme
12/01/07, 14:21
En er zijn ook genoeg mensen hier die root-logins toestaan en gebruikers-directories niet beveiligen en full-managed leveren voor 4 tientjes per maand... vraag is of jij daarbij hoort... :)
iiiieuw :p nee dankje, hoor ik cker niet bij :)


phpinfo zou ik hooguit aan klanten toestaan. Even een page met username/pw in hun account hangen en klaar.
Ik weet genoeg, geen phpinfo dus.