Yes, it&#39;s true. On the page you&#39;re pointing to, you missed this text:<br><br>&quot;Important: If you used method 3b, you should reset permissions by executing &quot;<code class="escaped">chmod 755 .</code>&quot; in the directory containing pmwiki.php.&quot;<br>
<br>Cheers,<br>Radu<br><br><div class="gmail_quote">On Mon, Dec 22, 2008 at 2:00 PM, adam overton <span dir="ltr">&lt;<a href="mailto:a@plus1plus1plus.org">a@plus1plus1plus.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
hi, is this true?<br>
<br>
&gt; Either way, don&#39;t set<br>
&gt; anything to 777.<br>
<br>
<br>
b/c the installation instructions for pmwiki (<a href="http://pmwiki.org/wiki/" target="_blank">http://pmwiki.org/wiki/</a><br>
PmWiki/Installation) say setting uploads and wiki.d to 777. should<br>
they be 775 instead? just wondering if there&#39;s any consensus on this<br>
before i go start twiddling, changing permissions...<br>
<br>
thx<br>
adam<br>
<br>
<br>
&gt; Message: 6<br>
&gt; Date: Mon, 22 Dec 2008 10:25:35 -0500<br>
&gt; From: DaveG &lt;<a href="mailto:pmwiki@solidgone.com">pmwiki@solidgone.com</a>&gt;<br>
&gt; Subject: Re: [pmwiki-users] Security breach?<br>
&gt; To: <a href="mailto:jamesm1415@googlemail.com">jamesm1415@googlemail.com</a>, <a href="mailto:pmwiki-users@pmichaud.com">pmwiki-users@pmichaud.com</a><br>
&gt; Message-ID: &lt;<a href="mailto:4a708741ac82d970e15efebd74de3dd0@solidgone.com">4a708741ac82d970e15efebd74de3dd0@solidgone.com</a>&gt;<br>
&gt; Content-Type: text/plain; charset=&quot;UTF-8&quot;<br>
&gt;<br>
&gt;<br>
&gt;&gt; What happens is that the hackers use the uploads directory<br>
&gt;&gt; (with 777 permissions) to upload php files, and then it seems<br>
&gt;&gt; these php<br>
&gt;&gt; files can be used to access other parts of the filesystem (if I<br>
&gt; understood<br>
&gt; &lt;...snip...&gt;<br>
&gt;&gt; If a directory has 777 permissions, is there anything to stop someone<br>
&gt;&gt; putting an arbitrary file there??<br>
&gt; Not sure why you have directories set to 777; my uploads and wiki.d<br>
&gt; directories are all 775; most other directories are 755. Not sure<br>
&gt; why some<br>
&gt; are 775 -- I suspect they could be changed to 755. Either way,<br>
&gt; don&#39;t set<br>
&gt; anything to 777.<br>
&gt;<br>
&gt; &nbsp;~ ~ Dave<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; ------------------------------<br>
&gt;<br>
&gt; Message: 7<br>
&gt; Date: Mon, 22 Dec 2008 13:45:52 -0200<br>
&gt; From: Guillermo Calderon - INCO &lt;<a href="mailto:calderon@fing.edu.uy">calderon@fing.edu.uy</a>&gt;<br>
&gt; Subject: [pmwiki-users] question about Cookbook/SwitchToSSLMode<br>
&gt; To: <a href="mailto:pmwiki-users@pmichaud.com">pmwiki-users@pmichaud.com</a><br>
&gt; Message-ID: &lt;giocng$pgv$<a href="mailto:1@ger.gmane.org">1@ger.gmane.org</a>&gt;<br>
&gt; Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br>
&gt;<br>
&gt;<br>
&gt; Hi all;<br>
&gt; I was reading the page Cookbook/SwitchToSSLMode.<br>
&gt; There, a complex solution is described in order to &quot;only actions where<br>
&gt; passwords are likely to be passed are sent via SSL&quot;<br>
&gt;<br>
&gt; However, &quot;The example assumes there are not read-protected pages,<br>
&gt; since<br>
&gt; any &#39;read&#39; passwords entered to view a page would be sent via a non-<br>
&gt; SSL<br>
&gt; connection&quot;<br>
&gt;<br>
&gt; It sounds too restricted since (almost) every wiki has some<br>
&gt; read-protected pages and groups.<br>
&gt;<br>
&gt; I have implemented a very simple solution where only passwords are<br>
&gt; sent<br>
&gt; &nbsp; &nbsp;via SSL and the other posts are sent via http.<br>
&gt; In config.php:<br>
&gt;<br>
&gt; SDVA($InputTags[&#39;auth_form&#39;], array(<br>
&gt; &nbsp; &nbsp; &#39;:html&#39; =&gt; &quot;&lt;form<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;action=&#39;https://{$_SERVER[&#39;HTTP_HOST&#39;]}{$_SERVER<br>
&gt; [&#39;REQUEST_URI&#39;]}&#39;<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;method=&#39;post&#39;<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;name=&#39;authform&#39;&gt;\$PostVars&quot;));<br>
&gt;<br>
&gt; This way the action field of the auth-form sends &nbsp;all the information<br>
&gt; via https.<br>
&gt;<br>
&gt; My question: &nbsp;does this solution really work?<br>
&gt; (I think so, by I would like to be sure)<br>
&gt;<br>
&gt; Guillermo<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; ------------------------------<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; pmwiki-users mailing list<br>
&gt; <a href="mailto:pmwiki-users@pmichaud.com">pmwiki-users@pmichaud.com</a><br>
&gt; <a href="http://www.pmichaud.com/mailman/listinfo/pmwiki-users" target="_blank">http://www.pmichaud.com/mailman/listinfo/pmwiki-users</a><br>
&gt;<br>
&gt;<br>
&gt; End of pmwiki-users Digest, Vol 42, Issue 19<br>
&gt; ********************************************<br>
<br>
<br>
_______________________________________________<br>
pmwiki-users mailing list<br>
<a href="mailto:pmwiki-users@pmichaud.com">pmwiki-users@pmichaud.com</a><br>
<a href="http://www.pmichaud.com/mailman/listinfo/pmwiki-users" target="_blank">http://www.pmichaud.com/mailman/listinfo/pmwiki-users</a><br>
</blockquote></div><br>