Здравствуйте, я просто заметил, что с моей учетной записью SHELL на общем хостинге я могу в любой момент перечислить все текущие активные PHP-сессии (я могу перечислить их через ls ../../tmp).БЕЗОПАСНОСТЬ: изучение общего хостинга с базовой учетной записью оболочки
Также я могу также список всех пользователей (не пароли, хотя)
это нормально?
Список активных файлов сеансов отличается от возможности чтения содержимого самих фактических файлов, первый из которых относится к числу cons of shared hosting, а второй - к неправильной конфигурации сервера.
В файле /etc/passwd больше не хранится конфиденциальная информация о безопасности, а только данные, которые пользователи могут просматривать о себе, поэтому это должно быть общедоступным для чтения. Пароли хранятся в теневых файлах, которые не читаются в мире.
Да, я видел, что tha/etc/passwd общедоступно, и это меня пугает – rinchik