ABC skryptów CGI

Wstecz Dalej

Dla kogo CGI?

Niestety, nie każdy posiadacz strony WWW ma możliwość korzystania ze skryptów CGI. Przyczyną tego są względy bezpieczeństwa. Skrypty CGI uruchamiane są przez serwer WWW, a zatem zazwyczaj wykonują się w systemie z uprawnieniami, jakie przypisane zostały temu serwerowi. Fakt ten niesie ze sobą dwojakie zagrożenie dla bezpieczeństwa systemu. Pierwszy rodzaj zagrożenia możnaby określić jako "wewnętrzny" - polega on na tym, że użytkownik mający swoją stronę WWW na serwerze może umieścić na niej odpowiednio napisany skrypt CGI, aby poprzez uruchomienie go wykonać operację, do której normalnie nie miałby prawa (np. zajrzeć do niedostępnych dla niego plików innego użytkownika lub systemowych, albo uruchomić dużą ilość programów, doprowadzając do przeciążenia serwera). Drugi rodzaj zagrożenia to zagrożenie "zewnętrzne". Jeżeli użytkownik nie zabezpieczył należycie swojego skryptu przed tego typu nadużyciami, działający z zewnątrz hacker może skłonić skrypt do działania niezgodnego z intencjami jego autora - w pewnych sytuacjach aż do wykonywania dowolnych, podanych przez hackera, komend systemowych. Bywa to zwykle punktem wyjścia do dalszych prób włamania się na konto administratora systemu przy użyciu służących do tego celu specjalnych programów (tzw. exploitów).

Z powyższych względów dostawcy Internetu bardzo ostrożnie podchodzą do udostępniania swoim klientom możliwości uruchamiania własnych skryptów CGI. Na pewno nie znajdziemy takiej możliwości na popularnych serwerach kont darmowych; oferują ją raczej providerzy mający mniejszą liczbę klientów, wyłącznie na kontach płatnych, często pobierając za tę możliwość dodatkową dopłatę do ceny konta. Nawet gdy takiej dopłaty nie ma, i tak chcąc korzystać ze skryptów CGI musimy się na ogół wcześniej porozumieć z administratorem, gdyż możliwość ta jest z reguły domyślnie zablokowana w konfiguracji serwera i musi zostać przez administratora jawnie odblokowana. W najlepszej sytuacji są niewątpliwie osoby czy firmy posiadające strony WWW na własnych serwerach - dla nich możliwość korzystania z CGI jest dostępna bez żadnych ograniczeń.

Warto też zaznaczyć, że nawet przy braku możliwości uruchamiania własnych skryptów, na wielu serwerach WWW często udostępniany jest przez administratora (w katalogu /cgi-bin lub podobnym) szereg gotowych skryptów, realizujących takie typowe elementy spotykane na stronach WWW, jak licznik odwiedzin, księga gości, wyszukiwanie, wysyłanie danych z formularza e-mailem, różnego rodzaju głosowania itp. Po odpowiedniej konfiguracji niejednokrotnie mogą one zaspokoić potrzeby wielu użytkowników.

Wstecz Dalej
Jarosław Rafa 2000. Tekst udostępniony na licencji Creative Commons (uznanie autorstwa - użycie niekomercyjne - bez utworów zależnych). Kliknij tutaj, aby dowiedzieć się, co to oznacza i co możesz z tym tekstem zrobić. W razie jakichkolwiek wątpliwości licencyjnych bądź w celu uzyskania zgody na rozpowszechnianie wykraczające poza warunki licencji proszę o kontakt e-mailem: raj@ap.krakow.pl.

Wersja HTML opracowana 11.10.2000.

Powrót do spisu treści Statystyka