[Dwn-trans-commit] CVS german/2008/10

[CVS User kreutzm-guest]

Update of /cvsroot/dwn-trans/german/2008/10
In directory alioth:/tmp/cvs-serv17143

Modified Files:
	index.wml 
Log Message:
Richtlinien für die Speicherung von Sitzungsdaten von Webanwendungen?


--- /cvsroot/dwn-trans/german/2008/10/index.wml	2008/09/24 17:43:45	1.7
+++ /cvsroot/dwn-trans/german/2008/10/index.wml	2008/09/25 19:19:12	1.8
@@ -73,8 +73,21 @@
 time to coordinate new translations and upload packages containing new
 translations.</p>
 
-
+<p><strong>Richtlinien für die Speicherung von Sitzungsdaten von Webanwendungen?</strong></p>
 <p><strong>Policy for web apps session storage?</strong></p>
+
+<p>Nach mehreren Fehlern in Hinblick auf <a 
+   href="http://lists.debian.org/debian-devel/2008/08/msg00271.html">mögliche
+   Symlink-Angriffe</a> berichtet wurden, <a
+   href="http://lists.debian.org/debian-devel/2008/08/msg00340.html">fragte 
+   sich</a> Olivier Berger über eine Richtlinie, die beschreibt, wie 
+   Web-Anwendungen (oder ihre Rahmenwerke) mit den Sitzungsdateien umgehen
+   sollten. Er bemerkte, dass PHP bereits versuche, mögliche Symlink-Angriffe
+   zu vermeiden, indem es /var/lib/php5 verwendet, das nur vom Benutzer root
+   gelesen werden kann und mittels eines Cronjobs automatisch gereinigt wird,
+   um Angriffe durch Öffnen vieler Sitzungen zu vermeiden. Er fragte sich
+   insbesondere, ob es einen ähnlichen Ansatz für Anwendungen in Perl und
+   CGI::Session gebe.</p>
 <p>After several bugs regarding <a href="http://lists.debian.org/debian-devel/2008/08/msg00271.html">possible
 symlink attacks</a> were reported, Olivier Berger <a
 href="http://lists.debian.org/debian-devel/2008/08/msg00340.html">wonders</a>
@@ -82,6 +95,7 @@
 storage of their session files. He noted that PHP already tries to prevent
 possible symlink attacks, by using /var/lib/php5 which is only readable
 by the root-user and automatically cleaned with a cronjob to prevent
+#FIXME if whether ???
 attacks by opening a lot of sessions. He especially wonders, if whether
 there's a similar approach for applications using perl and
 CGI::Session.</p>