session cookie und fastcgi

[tommbutu]

mein webserver ist nach dem fastcgi tutorial konfiguriert. /var/www/VHOST/web gehört also dem user vhost1 gruppe vhost1. gleichzeitig ist suexec so konfiguriert das die scripts der seite auch mit vhost1:vhost1 ausgeführt werden (laut tutorial müsste das ja stimmen soweit).

jetzt ist es aber so das ich ein cms system betreibe das auf session cookies setzt. ich habe also in die php.ini eingetragen das /tmp/cmssession der session cookie pfad ist. rechte der pfads hab ich wieder an vhost1:vhost1 übertragen.

die frage ist jetzt ob die session cookies auf diesem wege sicher sind. mit zugriff auf /tmp/cmssession hat man ja theoretisch die möglichkeit sessions zu "klauen"? oder liege ich da falsch?

safe mode ist gesetzt mit pfad /var/www/VHOST/web als exec directory. open_basedir steht ebenfalls auf /var/www/VHOST/web. als letztes hab ich noch die funktionen laut tutorial deaktiviert ( disable_functions = exec, passthru, proc_open,shell_exec, system,popen )

ich bitte um ein wenig hilfe. vielen dank!

[lord_pinhead]

Wie kann ich auf eine Datei zugreifen die Rechtetechnisch 750 hat und ich nicht der Besitzer bin? /tmp lässt sich mit eigener Umask ausstatten, aber warum änderst du den nicht einfach das Session Dir und /tmp ist für die User nicht mehr beschreibbar.

[oxygen]

ändere den Pfad doch einfach auf /var/www/VHOST/phptmp z.b. Da du für jeden Benutzer doch eine extra php.ini hast, ist das doch kein Problem.