Hallo Schmitti,

Sie können natürlich nur das einsehen, was Ihnen gehört oder allgemein freigegeben wurde. FTP-Account können eigentlich nur bis in Ihren Webseitenbereich schauen und nicht auf höhere Verzeichnisse zeigen. Per SSH können Sie aber immer auch auf höhere Verzeichnisse zugreifen, sofern diese freigegeben sind. Beispielsweise für PHP-Versionen, die unter /usr/bin liegen. Das können Sie sich natürlich auch ansehen. Nicht sehen können Sie die Ordner unter beispielsweise /www. Dort kommt dann, wenn Sie die ORdner auflisten möchten:

Mit freundlichen Grüßen

Nils Dornblut

Das Problem wäre aber, wenn ich jemandem einen FTP Account einrichte und er per SFTP ein Directorylisting abfragt.
Wenn er dann den Rest der Webseite sieht, ist das ein Problem.

haben Sie das mal ausprobiert?

Hier die Anleitung:

1. Im Kundenmenü auf FTP-Accounts
2. Anlegen von einem test account mit Ordner /test im Kundenverzeichnis.
3. Login per FTP CLient mit SFTP als Protokol.
4. Man sieht den Inhalt vom Test Ordner.
5. Ich kann aber einen Ordner hoch gehen, dann in meinen webseiten Ordner und alles sehen/downloaden.

Mit einem FTP Account kann man die ganze Webseite über SFTP downloaden!
Damit kommt man an all die Datenbankpasswörter, kann die PHP Skripte ändern und vieles mehr!


Das ist eine massive Sicherheitslücke. Wir hatten Leuten FTP Accounts für Uploads angelegt und jeder von denen kann jetzt die ganze Webseite einsehen.
Die meisten habe ich direkt mal gelöscht!

Bei FTP oder FTPS geht das alles wie es soll.

Die "Lücke" hat schon immer existiert, war nur optisch nicht so offensichtlich. Auch bei FTP ist der Account nicht auf den Zielordner beschränkt, sondern kann sich mit etwas Know How im Filesystem bewegen wie bei SFTP. Das einzige was da Abhilfe schafft, sind harte Quotas zwischen den Verzeichnissen, alles andere ist Schlangenöl.

Exakt! Um das zu verhindern ist eine Quota nötig:



Umgedreht beschrieben ist das Verhalten auch in den FAQ im letzten Punkt.

Mit freundlichen Grüßen

Nils Dornblut