OP Cache listet Verzeichnisse anderer Web-User

[Jonny | knowmates]

Hallo zusammen,

mir ist gestern aufgefallen, dass der OP Cache im Backend auch Verzeichnisse von anderen auf dem Server befindlichen Websites listet. Das kuriose an der Sache ist allerdings, dass diese alle unter php+fpm mit einem eigenen User laufen und ich mir daher nicht erklären kann, wie das Cachingsystem diese Ordner listen kann.

Auf einem anderen Server der eigentlich analog zu diesem hier beschriebenen eingerichtet ist, taucht dieses Problem nicht auf.

 

[hula1499]

AW: OP Cache listet Verzeichnisse anderer Web-User

Hab ich auch, auch schon danach gefragt aber keiner wollte mir sagen warum

 

[Jonny | knowmates]

AW: OP Cache listet Verzeichnisse anderer Web-User

Wäre schön wenn sich da mal jemand zu positionieren kann. Ich kann mir nämlich nicht erklären, wie das geht.

 

[testjo]

AW: OP Cache listet Verzeichnisse anderer Web-User

Nur auflisten oder auch zugänglich / readable?
Wen readable muss nicht schlimm sein weil ist ja cache die öffentlich auf den Web soll, nur wen man dieser abändern kan (dort ein write/create) von/beim anderer User also dan ist es schlimm. (aber vielleicht Datenschutzrechtlich....)
Was sagt den Hoster dazu.

 

[FMoche]

AW: OP Cache listet Verzeichnisse anderer Web-User

Das ist in jedem Fall eine Frage, die nur euer Hoster beantworten kann.
Der Shop tut nichts anderes, als die Ausgabe der PHP-Funktion opcache_get_status() auszuwerten.

 

[Jonny | knowmates]

AW: OP Cache listet Verzeichnisse anderer Web-User

Wir hosten das auf unserem eigenen Server. Gibt es Ansatzpunkte wo ich schauen könnte? Das ganze läuft mit Apache+php-fpm

 

[FMoche]

AW: OP Cache listet Verzeichnisse anderer Web-User

Hab auf einem Testserver von mir mit nginx/fpm mal nachgesehen, da ist es genauso.
Aber wo ist das Problem dabei? Ist ja nur kosmetischer Natur, der der OpCache für PHP transparent ist und hier nichts gelesen oder geschrieben wird.

 

[Jonny | knowmates]

AW: OP Cache listet Verzeichnisse anderer Web-User

Ist die Frage jetzt ernst gemeint?

Das Problem ist, dass ein Kunde somit sehen kann, welche anderen Kunden/Domains ebenfalls auf diesem Server sind. Schon alleine Datenschutzrechtlich ist das problematisch.

 

[testjo]

AW: OP Cache listet Verzeichnisse anderer Web-User

Ist die Frage jetzt ernst gemeint?

Das Problem ist, dass ein Kunde somit sehen kann, welche anderen Kunden/Domains ebenfalls auf diesem Server sind. Schon alleine Datenschutzrechtlich ist das problematisch.

Das habe ich doch auch gesagt den Datenschutz prob vielleicht , aber nochmal wie FMOCHE auch schreibt den Hoster oder den SERVERAdmin soll dir dafür ein Antwort geben können weil die machen den einstellungen und Administration für den Server!

Wen JTL Hoster dan denjenige die dort dieser teil macht.

Wen man selbe SERVER Admin ist soll man es selbe also richtig einstellen mussen und den OPCACHE lernen!
Oder wen probleme Datenschutz dieser also nicht (so) benutzen!
Und oder den bedingungen / nutzen / nutzung zugang / verträge was auch immer anpassen dass es rechtlich in ordnung ist.

Ob es weiter ein fehlerhafte interpretation seitens jtlshop wie OPCACHE zu benutzen hmm

Datenschutz B2B ist...

 

[Jonny | knowmates]

AW: OP Cache listet Verzeichnisse anderer Web-User

Ich betreue die Server und kann mir das Verhalten eben derzeit nicht erklären. Jede Kundenwebsite liegt im jew. Kundenordner. Diese Ordner gehören alle einem anderen User und einer anderen Gruppe, wonach ich mir es eben nicht erklären kann, wie OPCache da "reinschauen" kann.

 

[testjo]

AW: OP Cache listet Verzeichnisse anderer Web-User

was für Domains weiter auf den Server sind gibt so viele öffentliche tools nur dass soll es nicht sein. ( Datenschutz meine ich)

HTTP Auth

 

[chefsalat]

AW: OP Cache listet Verzeichnisse anderer Web-User

Wie soll denn Apache respektive PHP Seiten generieren/ausliefern, wenn er nicht lesend auf die Ordner zugreifen kann?

Solche OPCode-Caches versuchen - so hab ichs vor urzeiten mal gelernt - möglichst Effizient Bytecode-Caches zu generieren, bei identischen Strukturen auch übergreifend. Das sind z.T Codefragmente, die wegen Frameworks in vielen Produkten wie Shop, CMS etc. identisch sind. Ich kenne OPC nicht wirklich, vermute aber das es so arbeitet, aber evtl. gibt es eine Konfig-Direktive, um das übergreifende Verhalten in Verbindung mit PHPFPM, FCGI o.ä zu steuern / unterbinden.

 

[XYZ]

AW: OP Cache listet Verzeichnisse anderer Web-User

Ich konnte nach einem hosterseitigen Serverupdate mal direkt per FTP auf alle anderen Userverzeichnisse auf dem Server zugreifen, Dateien runterladen, öffnen etc., löschen habe ich natürllich nicht probiert. Ich empfand das als absolute Katastrophe und der Hoster erklärte nach Anfrage, dass das normal sei und man in den anderen Verzeichnissen nichts ändern könnte, nur reinschauen. Nächsten Tag ging das dann plötzlich nicht mehr, also hatte der Hoster nach dem Update wohl eine Einstellung vergessen. Wer weiß, wie lange das noch so geblieben wäre, hätte ich den nicht drauf hingewiesen...

 

[testjo]

AW: OP Cache listet Verzeichnisse anderer Web-User

Hihi gerade den FTp naturlich muss man da etwas machen. ( wen auch anderer USER)

etwas mehr info algemein
Understanding OpCache

https://community.1and1.com/php-7/

Important: To protect the data inside the OpCache,
please always create a folder starting with a point. The Apache
webserver will automatically protect this folder.

Something like /.opcache will work fine.

 

[Jonny | knowmates]

AW: OP Cache listet Verzeichnisse anderer Web-User

Wie soll denn Apache respektive PHP Seiten generieren/ausliefern, wenn er nicht lesend auf die Ordner zugreifen kann?

Das ist ja meine Frage

Wie gesagt: jeder Kunde hat für seine Websites einen eigenen Ordner unter /var/kunden/. Jede Website steckt in einem extra Ordner des Kunden /var/kunden/kundenname/website/. Jeder Kundenordner samt Unterordner mit Websitefiles etc gehört einem eigenen User und einer eigenen Group: kunde kunde /var/kunden/kundenname

Ich aber dennoch mit Kunde A wo der Shop mit OpCache läuft in den Ordner von Kunde B schauen. Ich brauch hier echt eine Lösung. Selbst wenn ich OpCache deaktiviere, stehen die Einträge weiter unter dem Reiter "Statistik" im Shop4 Backend

 

[FMoche]

AW: OP Cache listet Verzeichnisse anderer Web-User

Ist die Frage jetzt ernst gemeint?

Das Problem ist, dass ein Kunde somit sehen kann, welche anderen Kunden/Domains ebenfalls auf diesem Server sind. Schon alleine Datenschutzrechtlich ist das problematisch.

Da ich davon ausgegangen bin, dass es hier nur um deinen eigenen Shops geht, die du selber hostest: ja, das war ernst gemeint.

Generell scheint das Problem wohl bekannt zu sein - vgl. dazu z.B. [PECL-DEV] Zend OPCache + PHP-FPM - security concerns when the cache is shared between pools and users - Grokbase

Dort steht auch ein potentieller Lösungsansatz über opcache.restrict_api. Das müsste man dann wohl pro Pool anpassen.

Ein zweiter Testserver von mir, bei dem mehrere Shops via FastCGI laufen, hat das Problem übrigens nicht.