Darauf, dass man via SFTP auf bemerkenswerte Daten Lesezugriff hat,
habe ich Hetzner im Mai 2010 aufmerksam gemacht. Zunächst kam ein
schlicht falsches: "aufgrund der Serverstruktur ist ein Einsehen der
Datei- und Verzeichnisliste ohne weiteres möglich, ein Lesen oder
eine Änderung der Dateien selbst ist aber nicht möglich"; auf meine
Rückantwort mit Screenshots hieß es dann: "die von Ihnen angesprochen
Rechteproblematik wurde behoben - die restlichen Probleme werden
derzeit intern überprüft". Geändert hat sich seitdem, soweit ich mich
entsinne - bis auf die flott gefixten Berechtigungen von
Verzeichnissen anderer User - nichts.
Ich habe zwar keine tieferen Kenntnisse, ob bei SFTP zuverlässige(!)
chroot-Käfige möglich sind (vielleicht kann da ein
Linux-Server-Mensch Licht ins Dunkel bringen?), aber das sah für mich
als Webmaster einfach alles nicht richtig aus.
Das hier müssten die (oder einige der) Screenshots sein, die ich im
Mai 2010 an Hetzner gemailt habe:
> http://img194.imageshack.us/img194/5067/passwd.png
(Vor- und Nachnamen aller Kunden auf dem Server - Datenschutz?!)
> http://img191.imageshack.us/img191/9255/wwwusers.png
(interessante Berechtigungen bei HTTP-Verzeichnissen anderer User)
> http://img801.imageshack.us/img801/7973/wpconfig.png
(in der wp-config.php müssten die MySQL-Zugangsdaten zum WordPress
eines anderen(!) Users stehen - lesbar für Gott und die Welt)
Ich bin kein Linux-Guru und mag die Situation falsch einschätzen -
aber ich schätze, hätte man meine Schilderungen damals wirklich zum
Anlass genommen, die Rechteproblematik grundlegend zu prüfen, hätte
es zu dem aktuellen PR-Debakel gar nicht kommen können.
[Edit: Aus den Schilderungen Herrn Huchs
<http://www.heise.de/foren/forum-213378/msg-20909504/read/> geht
hervor, dass das aktuell diskutierte Problem mit einem Apache zu tun
hat, der als root lief - nicht mit fehlendem chroot-Käfig in SFTP.
Letzteres ist m. E. problematisch genug, ersteres natürlich schier
unglaublich. Ich bin sprachlos.
Vor dem Hintergrund habe ich im Post-Titel aus dem "Grundproblem" mal
ein "ähnliches Problem" gemacht.]
habe ich Hetzner im Mai 2010 aufmerksam gemacht. Zunächst kam ein
schlicht falsches: "aufgrund der Serverstruktur ist ein Einsehen der
Datei- und Verzeichnisliste ohne weiteres möglich, ein Lesen oder
eine Änderung der Dateien selbst ist aber nicht möglich"; auf meine
Rückantwort mit Screenshots hieß es dann: "die von Ihnen angesprochen
Rechteproblematik wurde behoben - die restlichen Probleme werden
derzeit intern überprüft". Geändert hat sich seitdem, soweit ich mich
entsinne - bis auf die flott gefixten Berechtigungen von
Verzeichnissen anderer User - nichts.
Ich habe zwar keine tieferen Kenntnisse, ob bei SFTP zuverlässige(!)
chroot-Käfige möglich sind (vielleicht kann da ein
Linux-Server-Mensch Licht ins Dunkel bringen?), aber das sah für mich
als Webmaster einfach alles nicht richtig aus.
Das hier müssten die (oder einige der) Screenshots sein, die ich im
Mai 2010 an Hetzner gemailt habe:
> http://img194.imageshack.us/img194/5067/passwd.png
(Vor- und Nachnamen aller Kunden auf dem Server - Datenschutz?!)
> http://img191.imageshack.us/img191/9255/wwwusers.png
(interessante Berechtigungen bei HTTP-Verzeichnissen anderer User)
> http://img801.imageshack.us/img801/7973/wpconfig.png
(in der wp-config.php müssten die MySQL-Zugangsdaten zum WordPress
eines anderen(!) Users stehen - lesbar für Gott und die Welt)
Ich bin kein Linux-Guru und mag die Situation falsch einschätzen -
aber ich schätze, hätte man meine Schilderungen damals wirklich zum
Anlass genommen, die Rechteproblematik grundlegend zu prüfen, hätte
es zu dem aktuellen PR-Debakel gar nicht kommen können.
[Edit: Aus den Schilderungen Herrn Huchs
<http://www.heise.de/foren/forum-213378/msg-20909504/read/> geht
hervor, dass das aktuell diskutierte Problem mit einem Apache zu tun
hat, der als root lief - nicht mit fehlendem chroot-Käfig in SFTP.
Letzteres ist m. E. problematisch genug, ersteres natürlich schier
unglaublich. Ich bin sprachlos.
Vor dem Hintergrund habe ich im Post-Titel aus dem "Grundproblem" mal
ein "ähnliches Problem" gemacht.]