Ist es nicht eine Sicherheitslücke, dass jeder, der den Aufrufbefehl des Cron-Jobs kennt, diesen überall ausführen kann?
Was ist, falls jemand meinen Server mit diesen Aufrufen ständig beschäftigt und damit lahmlegt? Wie kann ich den Cron-Job sicher starten, ohne dass andere den Aufruf kennen?
Als qad-Lösung fällt mir nur ein, die php-Datei umzubenennen. Gibt es nicht ein Script, das ohne web-access direkt auf dem Server das gleiche leistet?
Dank im Voraus.
S.
Hallo Sylvia,
Interessantes Szenario. Das müsste aber dann ein DDOS (disributed denial of service) werden. Desweiteren kann ich deine Webseite auch schlichtweg dadurch lahmlegen, dass ich deine Startseite permanent aufrufe (Soll ich mal? Ich hätte da zwei russische Proxies und mehrere Rootserver an der Hand 
). Davon habe ich persönlich auch mehr, weil die Startseite in der Regel viel rechenintensiver für deinen Server ist - mit der cron.php würde ich mich da nicht abgeben. Außerdem: Security by obscurity gibt es nicht (und genau das wäre eine schlichte Umbenennung)!
Lösungsansatz:
Stelle keine PHP-Seiten ins Netz.
Und im Ernst:
mod_evasive für den Apache tut genau, was du willst und zwar für deine gesamte Webseite: Du kann die Aufrufe sämtlicher PHP-Scripten pro IP oder IP-Netz beschränken. Dafür benötigst du Rootzugriff auf den Server. Ein anderer Ansatz könnte ein Reverse-Proxy mit entsprechenden cache-refresh-Zeiten sein. Der bringt auch noch etwas Dampf bei vielen simultanen Clients, weil er die DB entlastet.
Natürlich kannst du Script auch nicht weblesbar verschieben und per cronjob über php-cli ausführen, wenn du dann besser schläfst.
Meine Meinung:
Darüber würde ich mir keine Gedanken machen. Da gibt es ganz andere Einfallstore.
Gruß,
Maik
). Davon habe ich persönlich auch mehr, weil die Startseite in der Regel viel rechenintensiver für deinen Server ist - mit der cron.php würde ich mich da nicht abgeben. Außerdem: Security by obscurity gibt es nicht (und genau das wäre eine schlichte Umbenennung)!Lösungsansatz:
Stelle keine PHP-Seiten ins Netz.
Und im Ernst:
mod_evasive für den Apache tut genau, was du willst und zwar für deine gesamte Webseite: Du kann die Aufrufe sämtlicher PHP-Scripten pro IP oder IP-Netz beschränken. Dafür benötigst du Rootzugriff auf den Server. Ein anderer Ansatz könnte ein Reverse-Proxy mit entsprechenden cache-refresh-Zeiten sein. Der bringt auch noch etwas Dampf bei vielen simultanen Clients, weil er die DB entlastet.
Natürlich kannst du Script auch nicht weblesbar verschieben und per cronjob über php-cli ausführen, wenn du dann besser schläfst.
Meine Meinung:
Darüber würde ich mir keine Gedanken machen. Da gibt es ganz andere Einfallstore.
Gruß,
Maik
Hai,
alles d'accord, was du schreibst, aber ich würde doch gerne ganz allein darüber bestimmen, wann ein cron-job bei mir gestartet wird, ohne dass es von außen SO einfach möglich ist
security per obscurity... naja, da streiten sich seit langem die Geister. Ich werde dann wohl besser schlafen, indem ich tatsächlich das Skript verschiebe.
Danke für Deine Antwort und schönen Abend noch
S.
alles d'accord, was du schreibst, aber ich würde doch gerne ganz allein darüber bestimmen, wann ein cron-job bei mir gestartet wird, ohne dass es von außen SO einfach möglich ist
security per obscurity... naja, da streiten sich seit langem die Geister. Ich werde dann wohl besser schlafen, indem ich tatsächlich das Skript verschiebe.
Danke für Deine Antwort und schönen Abend noch
S.
Sylvia,
es darf nicht immer jede alles tun, verschiedene user haben verschiedene rechte und für bestimmte programme muss man entwieder Besitzter sein oder in eine Gemainsame Gruppe sein. Noch dazu mussen die rechte für das Program an sich passen.
Also es kann nicht einfach jede alles tun, wann doch ist etwas nicht ganz OK und man müsste im einzel schauen wer soll was können. Viele cronjobs sind command zeilen wo man selbst ans system eingeloggt werden muss. Mache gehen mit wget via HTTP aber auch hier kann man mit .htaccess einiges einrichten damit nicht jede diese Seite Ausrufen kann. usw.
Vielleicht kannst du ein Konkrete Beipiel + platform geben damit wir wissen womit wir es zu tun haben. Umnennen ist naturlich machbar, gerat aber manchmal um vergessenheit beim Update oder Umzug.
HTH
Darren