[PHP-users 5225] Re: [SECURITY]:PHP4 session spoofing exploit

[Tomoyuki Asakawa]

あさかわ
 >試されました？
もちろん、昔ですけど。

いまとりあえずshellでやってみました。(FreeBSDですが)

 >うちでは表示できてますが。
 >多分、ディレクトリのパーミッションとファイルのパーミッションを
 >混同されてるのだと思うのですが。

混同というより。重要なのはファイルのパーミッションです。
ディレクトリのパーミッションで遮蔽できるのは
lsなどだけです。

 >もちろんアクセスされるファイルのパーミッションは、
 >-rw-r--r-- (644)等になってる必要があります。
 >ここで、groupに対するパーミッションが r-- になっていても、
 >ホームディレクトリのgroupに対するパーミッションが --- なので、
 >同じグループに属する人は読むことができません。

直でねらえば見えるのではありませんか。

そうじゃないと、apacheが表示できるわけがありません。