fedo
04-04-2007, 22:22
Ciao,
ho acquistato un piano di hosting Linux Plus (http://www.webperte.com/hosting_linux.php) con WebPerTe (controllata di AziendeItalia), dopo che gentilmente mi hanno messo a disposizione un account di prova con tutta la tecnologia necessaria al mio portale.
Quest'ultimo è basato su Nuke 7.6 ("stra-patchato" e credo abbastanza sicuro) ed il db Mysql necessita di essere accessibile da client remoto (es. Access) tramite ODBC.
Con l'account che mi è stato aperto ho due problemi notevoli, che il supporto tecnico mi ha "vagamente" chiarito. Premesso che con l'account di prova non avevo il problema 1, mentre il 2 non l'ho verificato.
1- Quando i miei utenti provano a caricare un file tramite il classico <input type=file> dell' html, sappiamo tutti che il file temporaneo viene messo nella cartella \tmp del webserver e poi con la move_uploaded_file() lo si può prelevare mettere nella propria httpdocs.
Ebbene non lo permettono! quando vado a fare lo spostamento del file mi viene dato un errore di permessi.
In pratica l' UID/GUID del file temporaneo risulta essere 0 (se non sbaglio è 'root') mentre il mio script php che gira su apache ha un altro UID e quindi non può accedere al file.
Sapete come mi hanno detto di risolvere? usando una connessione ftp che invii il file al server; siccome il webserver è lo stesso dell'ftp, in pratica deve inviarselo da solo!
Per non parlare di quanto è scomodo questo sistema per manutenere il codice (quando lo eseguo in locale ovviamente non funziona se non ho un server ftp tirato su). Inoltre non mi piace molto che bisogna cablare le credenziali ftp nel codice php.
Ma secondo voi è normale questa cosa? In tutti gli hosting che ho provato è sempre stato lecito il trasferimento di un file dalla \tmp del server alle mie cartelle.
2- L'accesso MySQL da remoto viene concesso solo impostando precisi IP sul loro firewall; capisco bene le motivazioni di sicurezza, ma ci sono effettivamente pericoli? in realtà, non rischierebbe solo il mio database se un hacker venisse a conoscenza di user/password?
Rischia davvero qualcosa il loro sistema? Questo fatto mi crea problemi perchè non posso accedere da ovunque mi trovo e con connessioni ad ip dinamico o privato (tipo Fastweb).
Qualche anima pia che vuole commentare dal punto di vista tecnico queste due cose?
grazie
ho acquistato un piano di hosting Linux Plus (http://www.webperte.com/hosting_linux.php) con WebPerTe (controllata di AziendeItalia), dopo che gentilmente mi hanno messo a disposizione un account di prova con tutta la tecnologia necessaria al mio portale.
Quest'ultimo è basato su Nuke 7.6 ("stra-patchato" e credo abbastanza sicuro) ed il db Mysql necessita di essere accessibile da client remoto (es. Access) tramite ODBC.
Con l'account che mi è stato aperto ho due problemi notevoli, che il supporto tecnico mi ha "vagamente" chiarito. Premesso che con l'account di prova non avevo il problema 1, mentre il 2 non l'ho verificato.
1- Quando i miei utenti provano a caricare un file tramite il classico <input type=file> dell' html, sappiamo tutti che il file temporaneo viene messo nella cartella \tmp del webserver e poi con la move_uploaded_file() lo si può prelevare mettere nella propria httpdocs.
Ebbene non lo permettono! quando vado a fare lo spostamento del file mi viene dato un errore di permessi.
In pratica l' UID/GUID del file temporaneo risulta essere 0 (se non sbaglio è 'root') mentre il mio script php che gira su apache ha un altro UID e quindi non può accedere al file.
Sapete come mi hanno detto di risolvere? usando una connessione ftp che invii il file al server; siccome il webserver è lo stesso dell'ftp, in pratica deve inviarselo da solo!
Per non parlare di quanto è scomodo questo sistema per manutenere il codice (quando lo eseguo in locale ovviamente non funziona se non ho un server ftp tirato su). Inoltre non mi piace molto che bisogna cablare le credenziali ftp nel codice php.
Ma secondo voi è normale questa cosa? In tutti gli hosting che ho provato è sempre stato lecito il trasferimento di un file dalla \tmp del server alle mie cartelle.
2- L'accesso MySQL da remoto viene concesso solo impostando precisi IP sul loro firewall; capisco bene le motivazioni di sicurezza, ma ci sono effettivamente pericoli? in realtà, non rischierebbe solo il mio database se un hacker venisse a conoscenza di user/password?
Rischia davvero qualcosa il loro sistema? Questo fatto mi crea problemi perchè non posso accedere da ovunque mi trovo e con connessioni ad ip dinamico o privato (tipo Fastweb).
Qualche anima pia che vuole commentare dal punto di vista tecnico queste due cose?
grazie