Design Com Bolachas

terça-feira, 8 de junho de 2010

Problema com o mod_userdir no Ubuntu e distros derivadas

Ninguém gosta de surpresas desagradáveis e eu não sou diferente. A mais recente surpresa deste gênero para mim foi um problema com o mod_userdir do Apache, especificamente que ele não funciona mais a partir do Ubuntu Lucid Lynx.

Por razões condescendentes de "segurança" os mantenedores dos pacotes afetados acharam que era válido mudar o comportamento padrão do que ele era desde o primeiro release da distribuição. A natureza precisa deste incidente é que eles desabilitaram o parseamento de PHP para o "~/public_html/". Os detalhes, junto com as razões deles e uma explicação de como consertar isso estão aqui.

O que chama minha atenção como a pior parte de toda esta história é este pedaço de raciocínio falho extremamente ofensivo aos Desenvolvedores Web:
"Security note: Running PHP scripts in users' home directories was not disabled for a frivolous reason -- PHP is a full programming language, and as such, can be used by attackers in nefarious ways. Ideally, the PHP engine should only be enabled for users you (the system administrator) trust, and even then sparingly."
Qualquer um que voluntariamente instale o interpretador de PHP no seu sistema sabe que não deve rodar scripts de terceiros cuja integridade ou procedência não seja verificada sem primeiro inspecioná-los, ponto. Se você tem um ambiente multi-usuário e você quer restringir quais coisas que cada um pode fazer o ônus de implementar isso como você quiser é seu. Por causa de toda esta confusão eu perdi uma hora inteira do meu dia:
  1. 15 minutos checando meu procedimento de instalação do meu ambiente de desenvolvimento, porque, como o Jeff Atwood costuma dizer: "É sempre sua culpa".
  2. Outros 15 minutos checando a sanidade de todos os arquivos de configuração óbvios, só para descobrir que eles estavam todos ok.
  3. Finalmente, desperdicei 30 minutos lendo dúzias de resultados de busca do Google (a maioria posts de fórum no ubuntuforum.org) até que finalmente eu tropecei no link do Wiki do Ubuntu.
NOTA: eu sou aquele tipo incomum de cara que LÊ de verdade as notas de versão de uma atualização do seu SO antes de mudar para a nova versão. Nenhum aviso sobre esta mudança se achava .

Isto é simplesmente estúpido.

Marcadores: , , ,