session cookie und fastcgi
Posted: 2006-03-15 17:20
mein webserver ist nach dem fastcgi tutorial konfiguriert. /var/www/VHOST/web gehört also dem user vhost1 gruppe vhost1. gleichzeitig ist suexec so konfiguriert das die scripts der seite auch mit vhost1:vhost1 ausgeführt werden (laut tutorial müsste das ja stimmen soweit).
jetzt ist es aber so das ich ein cms system betreibe das auf session cookies setzt. ich habe also in die php.ini eingetragen das /tmp/cmssession der session cookie pfad ist. rechte der pfads hab ich wieder an vhost1:vhost1 übertragen.
die frage ist jetzt ob die session cookies auf diesem wege sicher sind. mit zugriff auf /tmp/cmssession hat man ja theoretisch die möglichkeit sessions zu "klauen"? oder liege ich da falsch?
safe mode ist gesetzt mit pfad /var/www/VHOST/web als exec directory. open_basedir steht ebenfalls auf /var/www/VHOST/web. als letztes hab ich noch die funktionen laut tutorial deaktiviert ( disable_functions = exec, passthru, proc_open,shell_exec, system,popen )
ich bitte um ein wenig hilfe. vielen dank!
jetzt ist es aber so das ich ein cms system betreibe das auf session cookies setzt. ich habe also in die php.ini eingetragen das /tmp/cmssession der session cookie pfad ist. rechte der pfads hab ich wieder an vhost1:vhost1 übertragen.
die frage ist jetzt ob die session cookies auf diesem wege sicher sind. mit zugriff auf /tmp/cmssession hat man ja theoretisch die möglichkeit sessions zu "klauen"? oder liege ich da falsch?
safe mode ist gesetzt mit pfad /var/www/VHOST/web als exec directory. open_basedir steht ebenfalls auf /var/www/VHOST/web. als letztes hab ich noch die funktionen laut tutorial deaktiviert ( disable_functions = exec, passthru, proc_open,shell_exec, system,popen )
ich bitte um ein wenig hilfe. vielen dank!