Onderwerp: phpinfo() op je site

wat ik me afvraag, kan het kwaad om phpinfo op mn site te zetten ? Het geeft alle instellingen van PHP wat voor devvers natuurlijk belangrijk is, maar geeft het niet TE veel info ? Of is het te beperken of..

Het is eenvoudig te beperken.

Je kan namelijk functies disable'n. Via deze setting: disable_functions 'phpinfo'; in je php.ini te plaatsen.

ja dat snap ik, maar ik doelde meer op het beperken van de output van phpinfo.. Is dat aan te raden of maakt het geen klap uit dat ik phpinfo op een pagina laat printen ?

ja dat kan. http://nl3.php.net/phpinfo

je bedoelt: de informatie die op de phpinfo pagina komt te staan, bevat die informatie die hackers/crackers/scriptkiddies kunnen gebruiken om mijn systeem schade toe te brengen

right?

Als je het voor developpers moet kunnen tonen of voor je eigen informatievoorziening is het toch gemakkelijk het phpinfo bestandje in een directory te plaatsen met een .htaccess authenticatie?

Oorspronkelijk geplaatst door VinceSTM

je bedoelt: de informatie die op de phpinfo pagina komt te staan, bevat die informatie die hackers/crackers/scriptkiddies kunnen gebruiken om mijn systeem schade toe te brengen

right?

Bingo

mijn id is dat het geen kwaad kan, maar wil toch graag wat meer reacties hebben... Het zou idd voor "members-only" kunnen, maar toch is het makkelijker om het gewoon toegankelijk op de site te hebben lijkt me.

Oorspronkelijk geplaatst door nzyme

Bingo

mijn id is dat het geen kwaad kan, maar wil toch graag wat meer reacties hebben... Het zou idd voor "members-only" kunnen, maar toch is het makkelijker om het gewoon toegankelijk op de site te hebben lijkt me.

Als je versies e.d. van je geïnstalleerde software naar buiten gooit, maak je het derden gemakkelijker om informatie over je server te verzamelen. Simpel.

Een IDS kan al getriggerd kan worden bij een exploit op een versie die je NIET geinstalleerd hebt en zodoende een eventuele wél exploitable versie op je systeem lang genoeg beveiligen zodat je kunt upgraden. Door het adverteren van je versies hoef je eigenlijk alleen maar op de 1ste de beste 0-day remote exploit voor je versie te wachten.

Just my 2 cents.

Oorspronkelijk geplaatst door systemdeveloper

Als je versies e.d. van je geïnstalleerde software naar buiten gooit, maak je het derden gemakkelijker om informatie over je server te verzamelen. Simpel.

Een IDS kan al getriggerd kan worden bij een exploit op een versie die je NIET geinstalleerd hebt en zodoende een eventuele wél exploitable versie op je systeem lang genoeg beveiligen zodat je kunt upgraden. Door het adverteren van je versies hoef je eigenlijk alleen maar op de 1ste de beste 0-day remote exploit voor je versie te wachten.

Just my 2 cents.

En dat is juist precies waarom ik de vraag stel. Ik geef wel aan wat de versie van php is (4) en mysql (4.1) maar verder gaat dat uiteraard niet.

Kortom, phpinfo toch maar niet vrijgeven ? Want er zijn genoeg mensen die het WEL aanbieden..

Oorspronkelijk geplaatst door nzyme

En dat is juist precies waarom ik de vraag stel. Ik geef wel aan wat de versie van php is (4) en mysql (4.1) maar verder gaat dat uiteraard niet.

Kortom, phpinfo toch maar niet vrijgeven ? Want er zijn genoeg mensen die het WEL aanbieden..

En er zijn ook genoeg mensen hier die root-logins toestaan en gebruikers-directories niet beveiligen en full-managed leveren voor 4 tientjes per maand... vraag is of jij daarbij hoort...
phpinfo zou ik hooguit aan klanten toestaan. Even een page met username/pw in hun account hangen en klaar.

Oorspronkelijk geplaatst door systemdeveloper

En er zijn ook genoeg mensen hier die root-logins toestaan en gebruikers-directories niet beveiligen en full-managed leveren voor 4 tientjes per maand... vraag is of jij daarbij hoort...

iiiieuw nee dankje, hoor ik cker niet bij

phpinfo zou ik hooguit aan klanten toestaan. Even een page met username/pw in hun account hangen en klaar.

Ik weet genoeg, geen phpinfo dus.