Estoy en un hosting IN-seguro?

Hola,

tome un hosting con "PHP SAFE MODE", y muy seguro...

Luego tuve un problema con PHP...

Así que el vendedor me ha dicho que coloque un file php.ini con una configuración NO SEGURA, y efectivamente, se resolvio el problema.

Pero he visto que puedo bajar la seguridad del HOST configurando ese file.

Si quisiera, podria colocar toda la web en modo NO SEGURO...

Mi pregunta es:

Eso es correcto ?, o ese host esta mal configurado y adolece de inseguridad?...

Digo, si ellos tienen configurado en SEGURO, y uno puede upload un archivo que cambia el modo seguro, la cantidad de memoria a utilizar por PHP, etc...

Me ha dejado intranquila eso.

Son directrices personalizables de PHP, que pueden ser alteradas por el usuario, si el proveedor tiene safe mode en On, me parece muy bien desde el punto de vista de seguridad y a la vez que permite modificar ciertas cosas termina haciéndolo más fácil de usar para el cliente. Siempre debe haber un balance entre seguridad y necesidades, en este caso creo que estás bien.

Saludos,

Gracias WebTech.

Si he entendido: "Es bueno que los clientes podamos cambiar directrices de PHP".

Del otro lado (root): si se quiere que NADIE cambie esa config, que se debe hacer?

Aunque con la respuesta que me haz dado, creo que "no se deberia hacer".

Eso depende de cómo se configura PHP con Apache, allí marcas los privilegios que podrán tener tus usuarios, es algo que depende del proveedor. Como te dije, no es inseguro que te permitan cambiar esas directrices, se sigue manteniendo la seguridad, excepto para los sitios que el cliente desea, seguridad y usabilidad :D

Saludos,

WebTech gracias.

Tonces reducir la seguridad en web1.com del mismo servidor NO AFECTA a web2.com del mismo server. Verdad ?.

Ok, una web insegura no afecta a la web2.

Gracias.

Me temo que sí afecta. Un servidor es tan seguro como "seguro" sea el sitio web más inseguro que aloje.

Me explico: si la configuración de web1.com permite (por ejemplo) que se utilice un exploit p.ej. injectando código desde una aplicación php que tenga alojada, es relativamente sencillo hacer un deface de todo el servidor, o utilizar ese servidor para casi cualquier cosa.

Si configuras web1.com para que utilice mucha memoria RAM en cada proceso, es relativamente sencillo que tire todo el servidor.

En un entorno compartido ningún sitio web alojado en se entorno estará seguro por el simple hecho de que depende de la "seguridad" o "inseguridad" de los demás sitios web alojados en el mismo. (p.ej uno que tenga calquier aplicación tipo joompa, phpbb, mambo, etc sin parchear y con bugs abre la puerta a multitud de problemas de hackeos e intrusiones a los demás sitios web alojados en ese mismo servidor).

Amos, digo yo.

PHP SAFE MODE es solo una capa más en la seguridad (por cierto una bastante pobre) lo que realmente dará seguridad será la calidad del código que alojes, el servidor web no es de por si seguro o inseguro si tiene o no PHP SAFE MODE, lo que sucede es que existen muchas aplicaciones inseguras por naturaleza (wordpress, phpnuke, phpbb2, etc) y PHP SAFE MODE trata de resolver el problema creado por la aplicación.

PHP SAFE MODE será desactivado en la versión 6 de PHP

P.D. Solo algunas directivas de php pueden ser cambiadas por el usuario

A ver, el modo seguro no es nada más que una manera de solucionar el problema de los servidores compartidos en los que un programador malintencionado puede acceder a otros directorios del servidor y realizar acciones. Para evitar esto el safe_mode lo que hace es checar el propietario de los scripts php para saber si son "de buena procedencia" e inutilizar una serie de funciones de php cuyo mal uso puede ser susceptible de utilizarse para saltarse las restricciones o provocar cambio en el sistema... p.ej.

chdir()
chmode()
shell_exec()
exec()
system()
passthru()
popen()
mkdir()

El modo seguro en sí no es malo, ya que nos beneficia su "seguridad" y es necesario en los alojamientos compartidos... Lo que pasa es que muchas aplicaciones preprogramadas como joomla/oscommerce/wordpress necesitan de su inactivación momentánea y de ahí muchas veces surgen los problemas... basta con ponerlo en conocimiento de la empresa de hosting y ellos te pondran el safe_mode local en OFF

creo que aquí te quedará bastante claro: http://nl.php.net/features.safe-mode