SafeMode -Meinungen gesucht

[raid]

Hallo in die Runde!

Mich interessieren doch mal ein paar Meinungen zum Thema SafeMode - habt ihr den selber aktiviert und meint ihr es macht Sinn?

Mir geht irgendwie nur darum, dass ich im Freundeskreis da immer die krassesten Meinungen höre und von denen auch zu lesen bekomme. Zum Beispiel gibt es eine deutsche Forensoftware die recht bekannt ist, wo der Autor/Programmierer allen Leuten wo pauschal rät den SafeMode zu deaktivieren, denn das wäre völlig gefahrenlos und das würde dann alles toll laufen.

Dann bekomme ich immer wieder die selben Sätze zu hören, dass die Zeitschrift c't ja soooooo vertrauenswürdig sei und angeblich so viele Hoster vorgestellt werden die alle SafeMode off haben.

Also mein persönliches Bild ist ja, dass alle Hoster die ich kenne, den SafeMode auf on haben und dann am Markt die Kinderzimmerprovider ins Spiel kommen, denn die bieten den Leuten mit Scripten die SafeMode off brauchen eben Webspace zum Dumpingpreis und das auf Kosten der Sicherheit und zum Dumpingpreis.

Nun stellt sich eben bei uns im Verein mir echt immer wieder die Frage, ob man Ausnahmen macht und SafeMode off für einige Mitglieder anbietet und ich dann noch ruhig schlafen kann, denn besonders Joomla ist mir irgendwie ein Dorn im Auge was Sicherheit angeht und dazu noch SafeMode off beschert mit kein gutes Bauchgefühl ...

Wenn man mal Google befragt, dann bekommt man ja auch diverse Meinungen wo der Trend schon in Richtung geht, dass der besser auf ON sein soll.

[daemotron]

Safe Mode is deprecated in PHP 5.3.0 and is removed in PHP 6.0.0.

Der bessere Ansatz ist definitiv, PHP pro Webpräsenz unter einem dedizierten User auszuführen (entweder als CGI per suphp oder als FastCGI) und selbige mit den Security Mechanismen des Betriebssystems entsprechend einzuschränken (Berechtigungen, ACLs, MAC).

[Roger Wilco]

Mich interessieren doch mal ein paar Meinungen zum Thema SafeMode - habt ihr den selber aktiviert und meint ihr es macht Sinn?

Nein, ich habe den Safe Mode nicht aktiviert. Abgesehen davon, dass diese Funktion, wie von jfreund beschrieben, in kommenden PHP-Versionen nicht mehr zur Verfügung steht, solltest du auch http://ilia.ws/archives/18_PHPs_safe_mo ... urity.html lesen. Kleiner Hinweise dazu: Ilia Alshanetsky ist der Release Manager für PHP 5.2.

Dann bekomme ich immer wieder die selben Sätze zu hören, dass die Zeitschrift c't ja soooooo vertrauenswürdig sei und angeblich so viele Hoster vorgestellt werden die alle SafeMode off haben.

Das ist korrekt. Alle größeren ISPs, die ich kenne, haben auf ihren Shared-Hosting-Plattformen den PHP Safe Mode deaktiviert.

Also mein persönliches Bild ist ja, dass alle Hoster die ich kenne, den SafeMode auf on haben und dann am Markt die Kinderzimmerprovider ins Spiel kommen

Ich kenne das eher andersherum. Nur die Wohnzimmerprovider haben den Safe Mode aktiviert, weil sie das System nicht richtig absichern können. Und weil Confixx eine schöne Checkbox zum Anklicken dafür bietet...

[raid]

Danke für eure Postings, wenn ich den Inhalt von dem Link von Roger Wilco richtig auffasse, dann ist der Ilia da nicht wirklich vom SafeMode überzeugt.

Was ich mich aber frage und das schon seit einiger Zeit, wenn denn dann in PHP6 der SafeMode fehlt, wie verhält sich das denn dann? So wie wenn man jetzt den SafeMode off hat?

Ich muss gestehen, ich hab seit Jahren immer den SafeMode auf ON bei unseren Vereinsmitgliedern und hab da viel drauf gegeben, wahrscheinlich werd ich mich doch mal mit dem Gedanke suPHP und dafür SafeMode Off anfreunden müssen. Ich hab zwar irgendwie im Hinterkopf von einigen Leuten die ich kenne, wo das in einem Chaos geendet hat nachträglich auf suPHP umstellen, aber da werd ich mich mal einlesen, Hauptsache die Sicherheit steht im Vordergrund und alles funktioniert.

[Roger Wilco]

So wie wenn man jetzt den SafeMode off hat?

Im Wesentlichen ja.

Ich hab zwar irgendwie im Hinterkopf von einigen Leuten die ich kenne, wo das in einem Chaos geendet hat nachträglich auf suPHP umstellen, aber da werd ich mich mal einlesen, Hauptsache die Sicherheit steht im Vordergrund und alles funktioniert.

Man muss sich eben über die Unterschiede zwischen den verschiedenen Varianten im Klaren sein. Lies dazu http://wiki.rootforum.de/scripting/php/ ... vs_php-cgi.

[Joe User]

SafeMode war noch nie eine Sicherheitsfunktion und konnte schon immer leicht umgangen werden. Das "Safe" in SafeMode ist hier sehr irreführend.

Du solltest Dich mit FastCGI (nicht suPHP) beschäftigen, das ist die Zukunft.

[Roger Wilco]

Du solltest Dich mit FastCGI (nicht suPHP) beschäftigen, das ist die Zukunft.

Darüber kann man sich streiten. Ich fahre für gewisse Dinge sehr gut mit SuPHP. Überhaupt finde ich die Konfigurationsmöglichkeiten denen von FastCGI+SuExec klar überlegen. Voraussetzung ist natürlich, dass der Apache httpd zum Einsatz kommt.

[Joe User]

FastCGI ist trotzdem zukunftsträchtiger, da es auch künfig neue "Hype"-ScriptSprachen ala Perl, PHP, Python, Ruby, Lua, etc. geben wird und diese in Multi-User-Umgebungen letztendlich immer wieder per FastCGI umgesetzt werden. suPHP ist nett, aber Apache+PHP-only...

[Roger Wilco]

suPHP ist nett, aber Apache+PHP-only...

Das stimmt so nicht. SuPHP kann für jede Sprache mit einer CGI-Schnittstelle benutzt werden. Auch wenn der Name anderes vermuten lässt. Bei FastCGI (ich gehe jetzt von einem 08/15-Apache httpd aus) hast du größeren Verwaltungsaufwand für mehrere Benutzer.

[Joe User]

SuPHP kann für jede Sprache mit einer CGI-Schnittstelle benutzt werden. Auch wenn der Name anderes vermuten lässt.

OK, danke für die Richtigstellung, man lernt nie aus ;)
In dem Fall muss dann immer im Einzelfall abwägen, was besser passt.

[danton]

SafeMode bietet nur eine trügerische Sicherheit. Spätestens wenn man beispielsweise noch Perl anbietet, ist SafeMode in PHP sowieso Schwachsinn, denn das was in PHP damit "verschlossen" ist, geht in Perl weiterhin.
Ich habe mich bei der Konfiguration meiners Servers für das Gespann aus FastCGI/SuExec entschieden und fahre da bislang sehr gut mit (SafeMode ist off). Der Verwaltungsaufwand hält sich in Grenzen, ich finde es sogar ganz praktisch, da ich für einzelne Hosts verschiedene PHP-Konfigs fahren kann (und auch teilweise habe).

[Anonymous]

SafeMode ist sicherheit Rambasamba :). Bisher wurde nie geeinigt OFF oder ON ist besser oder sicher. Darüber laesst sich immer streiten.
Deswegen und glueklicheweise in PHP6 total geloescht.