/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
ASP/PHP: Sårbarhed for dårlig kode?
Fra : Jørn Andersen


Dato : 12-05-01 09:38

Hej,

Jeg bestyrer et par ASP-sites hostet på et webhotel, hvor der jævnligt
er problemer forårsaget af kunders dårlige kodning (uendelige loops,
ikke-lukning af variable osv.).

Det er mit indtryk, at webhotellet gør hvad de kan for at minimere
problemet, men de siger, at det faktisk er umuligt på en Windows
ASP-maskine helt at forhindre, at dårlig kode kan lægge ASP-serveren
ned, eller i hvert fald belaste den voldsomt med nedsat hastighed til
følge.

Mit spørgsmål går så på, om dette også gælder for PHP?
Og om det gælder i lige høj grad for PHP på UNIX/Linux/etc som på
Windows?

Mvh. Jørn

X-post: dk.edb.internet.webdesign.serverside.php + .asp
FUT: dk.edb.internet.webdesign.serverside.php

--
Jørn Andersen
Brønshøj

 
 
Martin Højriis Krist~ (12-05-2001)
Kommentar
Fra : Martin Højriis Krist~


Dato : 12-05-01 09:44

"Jørn Andersen" <jorn.a@email.dk> skrev i en meddelelse
news:IPT8OuthwcuMw3GaE8I8NTbK866N@4ax.com...
> Mit spørgsmål går så på, om dette også gælder for PHP?

Som administrator af en server ville jeg ihvertfald ikke garantere noget som
helst såfremt andre end betroede medarbejdere havde adgang til php-afvikling
på maskinen.
Man kan komme meget langt og så vidt jeg ved længere end med ASP, men du kan
aldrig helt sikre dig.

--
Med Venlig Hilsen

Martin Højriis Kristensen
Svar bedes baseret på RFC1855
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet


Thomas Jensen - pil.~ (12-05-2001)
Kommentar
Fra : Thomas Jensen - pil.~


Dato : 12-05-01 09:49

On Sat, 12 May 2001 10:43:49 +0200, "Martin Højriis Kristensen"
<hoejriis@SLETDETTEiname.com> wrote:

>> Mit spørgsmål går så på, om dette også gælder for PHP?
>
>Som administrator af en server ville jeg ihvertfald ikke garantere noget som
>helst såfremt andre end betroede medarbejdere havde adgang til php-afvikling
>på maskinen.

folk som er i decideret ond tro er selvfølgelig svære at håndtere...
men alm. brug af php, m. blandede kompetenceniveauer hos de forsk.
"webhotel-indbyggere" giver ikke nødvendigvis problemer.

Man kan afhængig af empiri, livssyn og karma styre de forsk.
rettigheder m. rimelig hård hånd.

--
med venlig hilsen
Thomas Jensen
http://pil.dk/

Martin Højriis Krist~ (12-05-2001)
Kommentar
Fra : Martin Højriis Krist~


Dato : 12-05-01 14:10

"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
news:3afcf85f.1208626@news.inet.tele.dk...
> Man kan afhængig af empiri, livssyn og karma styre de forsk.
> rettigheder m. rimelig hård hånd.

Sagtens og i praksis har jeg heller ikke problemer der, men ser man strengt
sikkerhedsmæssigt på det så er alle rettigheder til den slags et gabende
sikkerhedshul.

--
Med Venlig Hilsen

Martin Højriis Kristensen
Svar bedes baseret på RFC1855
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet


Thomas Jensen - pil.~ (12-05-2001)
Kommentar
Fra : Thomas Jensen - pil.~


Dato : 12-05-01 20:01

On Sat, 12 May 2001 15:09:31 +0200, "Martin Højriis Kristensen"
<hoejriis@SLETDETTEiname.com> wrote:

>"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
>news:3afcf85f.1208626@news.inet.tele.dk...
>> Man kan afhængig af empiri, livssyn og karma styre de forsk.
>> rettigheder m. rimelig hård hånd.
>
>Sagtens og i praksis har jeg heller ikke problemer der, men ser man strengt
>sikkerhedsmæssigt på det så er alle rettigheder til den slags et gabende
>sikkerhedshul.

enhver maskine m. netkort i er et gabende sikkerhedshul

--
med venlig hilsen
Thomas Jensen
http://pil.dk/

Johan (13-05-2001)
Kommentar
Fra : Johan


Dato : 13-05-01 11:26

> >Sagtens og i praksis har jeg heller ikke problemer der, men ser man
strengt
> >sikkerhedsmæssigt på det så er alle rettigheder til den slags et gabende
> >sikkerhedshul.
>
> enhver maskine m. netkort i er et gabende sikkerhedshul

Jaaah, hvis den er forbundet til et netværk... ellers ikke

mvh

Johan



Christian Schmidt (13-05-2001)
Kommentar
Fra : Christian Schmidt


Dato : 13-05-01 12:01

Johan wrote:
>
> > enhver maskine m. netkort i er et gabende sikkerhedshul
>
> Jaaah, hvis den er forbundet til et netværk... ellers ikke

Man skal ikke undervurdere farligheden af vildfarne elektroner.


Christian

Thomas Jensen - pil.~ (12-05-2001)
Kommentar
Fra : Thomas Jensen - pil.~


Dato : 12-05-01 09:46

On Sat, 12 May 2001 10:38:10 +0200, Jørn Andersen <jorn.a@email.dk>
wrote:

>Jeg bestyrer et par ASP-sites hostet på et webhotel, hvor der jævnligt
>er problemer forårsaget af kunders dårlige kodning (uendelige loops,
>ikke-lukning af variable osv.).
>
>Det er mit indtryk, at webhotellet gør hvad de kan for at minimere
>problemet, men de siger, at det faktisk er umuligt på en Windows
>ASP-maskine helt at forhindre, at dårlig kode kan lægge ASP-serveren
>ned, eller i hvert fald belaste den voldsomt med nedsat hastighed til
>følge.

<uden at være mickey-mand>
hvis de propper noget mere ram i boxen, kan de kører de forsk.
webhoteller i seperate "memoryspaces".

Når vi en sjælden gang i mellem bliver tvunget ud i at lave noget asp,
får vi det hostet et sted hvor de siger noget ala "Af
sikkerhedsmæssige årsager har vi valgt at afvikle hver ASP applikation
i sin egen web server proces. "

Dette skulle betyde at en fejl på ét hotel ikke kan få samtlige
hoteller til at "gå ned".

>Mit spørgsmål går så på, om dette også gælder for PHP?

ikke nødvendigvis.. på en unix-box har efter behov fint styr på
permissions, ressourcer og den slags.

--
med venlig hilsen
Thomas Jensen
http://pil.dk/

Jonas Koch Bentzen (12-05-2001)
Kommentar
Fra : Jonas Koch Bentzen


Dato : 12-05-01 10:00

Jørn Andersen skrev:

> de siger, at det faktisk er umuligt på en Windows
> ASP-maskine helt at forhindre, at dårlig kode kan lægge ASP-serveren
> ned, eller i hvert fald belaste den voldsomt med nedsat hastighed til
> følge.
>
> Mit spørgsmål går så på, om dette også gælder for PHP?

Med PHP-konfigurationsindstillingerne max_execution_time og
memory_limit skulle det være muligt at undgå den slags problemer, du
beskriver.

max_execution_time er som standard sat til 30 sekunder, så en uendelig
løkke vil ikke køre længere end det (med mindre brugeren har sat
set_time_limit() til 0 i scriptet - men det problem kan undgås ved at
køre i safe mode).

memory_limit sætter, hvor meget RAM et script må bruge. Som standard
sat til 8 Mb.

--
Venlig hilsen
Jonas Koch Bentzen

Jakob Andersen (12-05-2001)
Kommentar
Fra : Jakob Andersen


Dato : 12-05-01 11:57

"Jørn Andersen" <jorn.a@email.dk> wrote in message
news:IPT8OuthwcuMw3GaE8I8NTbK866N@4ax.com...
> Det er mit indtryk, at webhotellet gør hvad de kan for at minimere
> problemet, men de siger, at det faktisk er umuligt på en Windows
> ASP-maskine helt at forhindre, at dårlig kode kan lægge ASP-serveren
> ned, eller i hvert fald belaste den voldsomt med nedsat hastighed til
> følge.


Man kan kører "jailed processes" dvs. at hvert hotel har en vis mængde
hukommelse til rådighed og når dette overskrides dræbes processen.

--
Jakob Andersen
FAQ for webdesign gruppen på
<http://www.usenet.dk/oss/dk.edb.internet.webdesign>
"Det er rart at være vigtig, men det er vigtigere at være rar "



James Olsen (13-05-2001)
Kommentar
Fra : James Olsen


Dato : 13-05-01 09:23


"Jørn Andersen" <jorn.a@email.dk> wrote in message
news:IPT8OuthwcuMw3GaE8I8NTbK866N@4ax.com...
> Hej,
>
> Jeg bestyrer et par ASP-sites hostet på et webhotel, hvor der jævnligt
> er problemer forårsaget af kunders dårlige kodning (uendelige loops,
> ikke-lukning af variable osv.).
>
> Det er mit indtryk, at webhotellet gør hvad de kan for at minimere
> problemet, men de siger, at det faktisk er umuligt på en Windows
> ASP-maskine helt at forhindre, at dårlig kode kan lægge ASP-serveren
> ned, eller i hvert fald belaste den voldsomt med nedsat hastighed til
> følge.
>
> Mit spørgsmål går så på, om dette også gælder for PHP?
> Og om det gælder i lige høj grad for PHP på UNIX/Linux/etc som på
> Windows?

Generelt så vil dårlig kode kunne ødelægge hvad som helst lige gyldigt
hvilken platform du ligger på.

Web hotellet kunne jo fx. konfigurere de sites de køre til at blive
eksekveret i selvstændige adresserum. Har de nok ikke meget lyst til
eftersom, de så skal allokere væsentligt flere maskinressourcer per site,
men det er den eneste måde at issolere sites på IIS. Af mindre ting som
kunne gøres var at sætte nogle relativt lave timeouts på ASP-scripts så de
ikke får lov at køre så langtid - dette løser bare ikke problemet.

Det som sikkert er det virkelige problem er at nogle "site-bestyrere"
udvikler direkte mod web-hotellet, hvilket pludselig gør det til et
udviklingsmiljø og er der noget som ikke giver driftsstabilitet så er det
udviklingsmiljøer.

Men for at komme til sagen - det bliver IMHO ikke et klap bedre af at kommer
over på Linux/PHP.

>
> Mvh. Jørn
>
> X-post: dk.edb.internet.webdesign.serverside.php + .asp
> FUT: dk.edb.internet.webdesign.serverside.php
>
> --
> Jørn Andersen
> Brønshøj



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408874
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste