[Dwn-trans-commit] CVS german/2008/10
CVS User kreutzm-guest
dwn-trans-commit at lists.alioth.debian.org
Thu Sep 25 19:19:12 UTC 2008
Update of /cvsroot/dwn-trans/german/2008/10
In directory alioth:/tmp/cvs-serv17143
Modified Files:
index.wml
Log Message:
Richtlinien für die Speicherung von Sitzungsdaten von Webanwendungen?
--- /cvsroot/dwn-trans/german/2008/10/index.wml 2008/09/24 17:43:45 1.7
+++ /cvsroot/dwn-trans/german/2008/10/index.wml 2008/09/25 19:19:12 1.8
@@ -73,8 +73,21 @@
time to coordinate new translations and upload packages containing new
translations.</p>
-
+<p><strong>Richtlinien für die Speicherung von Sitzungsdaten von Webanwendungen?</strong></p>
<p><strong>Policy for web apps session storage?</strong></p>
+
+<p>Nach mehreren Fehlern in Hinblick auf <a
+ href="http://lists.debian.org/debian-devel/2008/08/msg00271.html">mögliche
+ Symlink-Angriffe</a> berichtet wurden, <a
+ href="http://lists.debian.org/debian-devel/2008/08/msg00340.html">fragte
+ sich</a> Olivier Berger über eine Richtlinie, die beschreibt, wie
+ Web-Anwendungen (oder ihre Rahmenwerke) mit den Sitzungsdateien umgehen
+ sollten. Er bemerkte, dass PHP bereits versuche, mögliche Symlink-Angriffe
+ zu vermeiden, indem es /var/lib/php5 verwendet, das nur vom Benutzer root
+ gelesen werden kann und mittels eines Cronjobs automatisch gereinigt wird,
+ um Angriffe durch Ãffnen vieler Sitzungen zu vermeiden. Er fragte sich
+ insbesondere, ob es einen ähnlichen Ansatz für Anwendungen in Perl und
+ CGI::Session gebe.</p>
<p>After several bugs regarding <a href="http://lists.debian.org/debian-devel/2008/08/msg00271.html">possible
symlink attacks</a> were reported, Olivier Berger <a
href="http://lists.debian.org/debian-devel/2008/08/msg00340.html">wonders</a>
@@ -82,6 +95,7 @@
storage of their session files. He noted that PHP already tries to prevent
possible symlink attacks, by using /var/lib/php5 which is only readable
by the root-user and automatically cleaned with a cronjob to prevent
+#FIXME if whether ???
attacks by opening a lot of sessions. He especially wonders, if whether
there's a similar approach for applications using perl and
CGI::Session.</p>
More information about the Dwn-trans-commit
mailing list