Позволим себе почти процитировать суппорт одного хостера

Хотелось бы услышать комментарии.
P.S.: Уточним. Речь идёт о том (в меру нашего понимания), что если клиент установил 777 на папку, то это его ошибка, и его обязательно взломают.

Зависит от того что за файл. Если, например это значение счетчика то могут его открутить, а если файл гостевой - испоганить нецензурщиной.
В целом такие права - 777 могут быть на сервере. Наример как директория для загрузки файлов через веб. А вот вина пользователя будет заключатся в том, что если он не отключил там исполнение скриптов, а обычно не отключают, и не поставил проверку на то что передают, а обычно не ставят - то он виноват в случае взлома своего сайта.

Насколько нам помнится phpbb<=11 версии очень бодро позволял себя взломать и загрузить файлы куда угодно и без 777 директорий.
Поэтому интересует вопрос в "рафинированном виде".
Становится ли безопасность меньше от самого факта создания папки с правами 777 если путь до неё известен?

становится, конечно.

Если это не оффтопик, можно уточнить в чём именно и из-за чего?
Нам казалось что хостер должен обеспечать безопасность клиентов друг от друга на одном хостинге. А просто "юзер интернета" вроде бы не имеет способа закачать файл в папку 777.
В чём ошибаемся?

мЕ БНОПНЯ. еЯКХ МСФМЮ ОНБШЬЕМЮЪ АЕГНОЮЯМНЯРЭ, РН ЕЯРЭ РЮЙХЕ БЕЫХ ЙЮЙ VPS, dedicated УНЯРХМЦ.
б ОЮОЙС Я ОПЮБЮЛХ 777 ХЛЕЕР БНГЛНФМНЯРЭ ГЮЙЮВЮРЭ/СДЮКХРЭ/ХГЛЕМХРЭ/ГЮОСЯРХРЭ ЙРН СЦНДМН.

пЕЙНЛЕМДСЧ ХГСВХРЭ ЯХЯРЕЛС ОПЮБ МЮ ТЮИКШ Б UNIX ЯХЯРЕЛЮУ.

"Кто угодно" это кто _именно_? Любой пользователь интернета FAR-ом может зайти и прочитать и записать?
С системой прав на unix немного знакомы. И в таком случае логичным продолжением кажется "права 755=> прочитать файл может кто угодно". То есть все файлы доступны для чтения "кому угодно"? Правильно? Или нет?
И что тогда с безопасностью данных пользователей хранящихся в файлах?

Любой системный пользователь. Например, сосед по хостину.
Если необходима повышенная безопасность, например серьезный интернет-маназин, то хорошим решением будет dedicated хостинг.

Если права на файл установлены 777, то очень часто это может означать, что не только прочитать, но и ЗАПИСАТЬ что угодно в этот файл может любой Ваш "сосед" по хостингу, чей сайт размещен на том же сервере.

Это не всегда так, есть методы "ограничить" скрипты. Но часто так бывает.

Что же касается чтения - да, права 755 означают, что любой пользователь Интернета может прочитать Ваши файлы. Если, конечно, Вы не закрыли их специальным образом.

Если Вас беспокоят данные пользователей - файлы, где они хранятся, необходимо закрывать паролями. Это в любом случае. А лучше еще и шифровать.

Кроме того, имеет смысл проконсультироваться с хостинг-провайдером на предмет того, как разграничены права пользователей на сервере.
Идеальным же решением, конечно, будет собственный сервер.

Не факт. достаточно дирой выше отобрать все права у азера (на пример поставить права 770). и кто папало ничего не прочитает и не запишет.


разве что у mod_php OpenBaseDir


Тоже не факт. если файлы публично недостпупны ни через какой из сетевых сервисов, любой пользователь инета никогда их не прочитает.
А если они доступны публично (например html страничка), то пофиг на права, лиш бы сам сервис смог его прочитать.


и со скольки обращений к файлу ты запаришься пароль вводить ?
достаточноую конфедициальность вполне можно обеспечить средствами безопасности файловой системы.


Оно конечно всегда лучше, только гдеж денег то взять ...

Ну если информация, или ущерб в следствие искажения/потери оной не превышает 200$ в месяц, тогда следует довольствоваться shared хостингом или vds.
А если превышает - подумать о своем сервере...

Простите, но как-то всё это странно звучит в трактовке которая здесь говорится.
Звучит примерно так "это норма что папку с правами 755 могут прочитать любые пользователи этого же хостинга любыми штатными средствами, а в 777 ещё и записать".
Но неправда это. Попытались мы сейчас у себя на хостинге "штатными" средствами прочитать 755, записать в 777 другого аккаунта, ну допустим phpremoteview попользовали. Не получилось. Значит "не любой пользователь" и даже "не любой пользователь того же хостинга" в отдельном взятом случае? Или мы что-то делаем не так? (не риторический вопрос).
Совсем нештатные средства особого смысла наверное нет рассматривать, ибо от нештатных может и сервер не помочь? Или есть смысл?
Может правильнее сформулировать "если хостер не настроил разграничение прав пользователей, то в 777 кто угодно может записать, а из 755 кто угодно прочитать"? Так хостер много чего может не настроить или настроить не так. При чем здесь ослабление безопасности пользователем?

Звучит абсолютно нормально. Права 777 в unix означают полный доступ для всех. Это норма. Некоторые идут на ухищрения вроде phpopenbasedir, которая не дает доступ php скрипту.
Вы таки да, делаете что-то не так. Попробуйте воспользоватся скриптом cgi-bin на перле и с легкостью сможете писать/читать ту директорию.
То, что не получилось у Вас не показатель надежности. Люди обладающие достаточным опытом могут сделать это. Хостер естетсвенно может настроить ве из рук плохо. Это понятно. Но как бы хорошо он не настроил - права 777 это потенциальная опасность. Причем как для владельца сервера так и для самого сервера.
Самое простое - через upload залить на сервер bindshell, потом запустить, присоеденится под правами текущего пользователя, и делать все что хочешь.

Ок, спасибо. Попытаемся, оба предложенных варианта.
Спасибо.

Так мы и не пытались доказать надёжность хостинга. Мы пытались понять кто-такой "кто угодно". Мы вот под эту категорию не подпадаем как оказалось, наверное не только мы.
Просто хочется понять насколько должен быть "не пионером" человек который этим занимается. Ибо "пионер" (мы) не смог вот этого сделать. А не пионер может и на сервер попасть.