Sicherheitsrisiken einer öffentlichen phpinfo () Seite?

10

Ich habe eine öffentlich zugängliche Seite, die gerade hat 

<?php phpinfo(); >

Ich verwende es zum Debuggen, während wir uns in der Beta befinden. Aber kann es schaden, es zugänglich zu machen, wenn es sich um eine Live-Site handelt?

apache-2.2 php security phpinfo siliconpi
quelle

Antworten:

11

Es hängt ganz davon ab, wie sicher Sie mit Ihrer PHP-Installation sind. Wenn Sie der Meinung sind, dass es absolut solide ist, auch wenn ein Angreifer alles über Ihre PHP-Installation weiß, können Sie es an Ort und Stelle lassen.

Aber warum sollten Sie das überhaupt auf einem Produktionssystem belassen? Möglicherweise gibt es Exploits, die Sie in Ihrer PHP-Version nicht kennen. Möglicherweise suchen Benutzer jetzt oder in Zukunft nach Ihrer PHP-Version oder nach bestimmten Optionen, die Sie aktiviert haben, weil sie wissen, wie diese Exploits ausgeführt werden. Indem Sie dies öffentlich verfolgen, haben Sie sich selbst zu ihrer Hitliste hinzugefügt.

Wenn Sie auf dem Laufenden bleiben möchten, können Sie es in einem kennwortgeschützten Verzeichnis ablegen oder bei Bedarf einschalten. Angesichts der geringen Kosten dieser Optionen würde ich nicht das Risiko eingehen, sie öffentlich zu machen.

dunxd
quelle
2
Das Umschließen des Funktionsaufrufs in eine Bedingung macht normalerweise den Trick - dh <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(wo 1.2.3.4ist Ihre IP-Adresse)
danlefree
Danke @dunxd - und danke @danlefree für den Tipp ... es gibt so viele Seiten, die noch ihre phpinfos veröffentlichen!
Siliconpi
1
Es gibt viele Websites, auf denen auch phpmyadmin verfügbar gemacht wird. Befolgen Sie nicht die Beispiele für die geringe Sicherheit anderer Personen. Sie schätzen ihre Daten oder die Integrität ihres Servers möglicherweise nicht so sehr wie Sie Ihre.
Dunxd
Während die Lösung von @ dunxd gründlich und perfekt ist, mag ich die Lösung von @ danlefree für das Problem wirklich. Ich bin mir nicht sicher, warum ich noch nie daran gedacht habe und ich werde dieses Modell in Zukunft verwenden. Um beim Thema zu bleiben, wollte ich auch hinzufügen, dass auch ich der Meinung bin, dass phpinfo()es keine kluge Idee ist , PHP in einer Funktion öffentlich zugänglich zu machen .
Justinhartman