[Typo3-UG Russia] Hosting + php-accelerator

[Aleksey Barabanov]

Dmitry Dulepov wrote:

>
>>  Я гораздо больше верю в
>>  системную безопасность, чем в безопасность на уровне PHP.
>>    
>>
>
>Это из серии "Винды - плохо, Линукс - хорошо". Нет обоснования такой
>"веры". А слепая вера - это плохо.
>
>  
>
Да нет. Вы не понимаете что во что входит. Это в системе запускается 
php, а не наоборот. Если вы сомневаетесь в системной безопасности, то 
php в такой системе вообще не более чем дырка от бублика.

>>  Проблема mod_php в том, что все сайты работают под одним системным логином,
>>  тем же под которым Apache, это дыряво.
>>    
>>
>
>Почему именно это дыряво?
>
>  
>
Потому, что к хостингу может потребоваться доступ через ssh, ftp, со 
стороны web-менеджера, который может иметь собственные дырки. И, 
главное, со стороны клиента-растяпы, от глупости которого не должны 
страдать другие клиенты.

>В конце концов, можно сделать chroot-ed environment, будет доступ только
>к самому Апачу и каталогу пользователя...
>
>  
>
И всем кто туда залогинятся.

Значит вам придется делать виртуальный апач.

Ну сложите два + два и догадайтесь, что апач "тяжелее" чем просто FastCGI.

>>  Плюсы:
>>  1. Никакой код модуля mинтерпретатора PHP не может навредить
>>  самому Apache, или экземпляру интерпретатора PHP другого клиента.
>>  Более того, я могу для каждого клиента использовать его собственные
>>  настройки PHP (php.ini).
>>    
>>
>
>И много клиентов имеют собственные настройки?
>  
>
А не в том дело , что имеют, а в том, что могут получить.

>>  2. Системно исключены проблемы параллельного выполнения кода (мы же говорим о
>>  множестве клиентов), т.к. для параллелизации используется системный
>>  механизм многозадачности, а не реализованный в mod_php.
>>    
>>
>
>А в чём проблема с параллельным выполнением кода в пхп?
>  
>
См. выше. Это к вопросу, что в чем работает.

>  
>
>>  3. Код выполняется в системном окружении пользователя и подчиняется
>>  системным ограничениям и правам установленным для него, т.е. UNIX
>>  обеспечивает безопасность.
>>    
>>
>
>Ничего не мешает это сделать на уровне Апача. К тогу же для Апачевского
>юзера обычно более жёсткие ограничения в системе установлены. Какие
>дополнительные ограничения устанавливаются юзеру?
>  
>
Внимательно смотрим в сторону того, что вы пишите "юзера", а вам пишут 
"юзеров".

>>  4. Даже с CGI-ем можно задосить сервак (Deny of Service), через
>>  FastCGI - сервер убить нельзя. Т.к. если не один из запущенных
>>  экземпляров интерпретатора не освободился к моменту очередного
>>  обращения, посетитель сайта (именно этого сайта) будет послан с ошибкой, сервер ничего делать
>>  не будет!
>>    
>>
>
>Это не мешает устроить DoS другим путём, преимущество перед mod_php никакое.
>
>  
>
Не конструктивно отказываться от преимущества, если оно не идеально.

>Бардак-с у Вас, батенька... :)
>
>  
>
Ну так тоже не конструктивно. Господин изложил и в отличие от вас 
обосновал свою точку зрения. И будь хоть у него супербардак это никак не 
менят его аргументации и ценности его предложения.

Кстати, оппоненты бывают еще и рыжими и ушастыми. Но лучше беседовать с 
умными в крапинку, чем с бестолковыми, но в галстуках.

-- 
Bye,
Aleksey Barabanov <alekseybb at mail.ru>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.netfielders.de/pipermail/typo3-russia/attachments/20050617/65afe4cc/attachment.htm