home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Spezial / SPEZIAL2_97.zip / SPEZIAL2_97.iso / ANWEND / ONLINE / SREFV12J / CONFIGS.ZIP / noss.cnf < prev    next >
Text File  |  1997-02-28  |  4KB  |  103 lines
  1.  
  2. <h1>Suppress server side includes and server side processing</h1>
  3.  
  4. Use this to suppress Server Side Includes (SSI) and Server Side
  5. Processing (SSP). Server Side Includes are used to  create
  6. dynamic HTML documents by processing special keyphrases included in
  7.  an otherwise
  8. standard HTML file.  Server Side Processing occurs when the client
  9. requests the services of a CGI-BIN script or an SRE-Filter add-on.
  10.  
  11. <FORM ACTION="/srefconf" METHOD="GET">
  12. <input type="hidden" name="SET" value="no_ss">
  13.  
  14. Suppress server side includes (SSI) on HTML documents?
  15. <menu>
  16. <LI><INPUT TYPE=RADIO NAME="no_ssi" VALUE="1" $isyes ><STRONG>Yes</STRONG>:
  17. SSIs will <b>not</b> be attempted <em>(they will be <B>suppressed</B></em>).
  18. <LI><INPUT TYPE=RADIO NAME="no_ssi" VALUE="0" $isno ><STRONG>NO</STRONG>:
  19.  SSIs <b>will</b> be attempted.</menu>
  20. </menu>
  21. <br>
  22. Suppress server side processing (SSP)?
  23. <menu>
  24. <LI><INPUT TYPE=RADIO NAME="no_ssp" VALUE="1" $no_ssp_yes ><STRONG>Suppress ALL</STRONG>:
  25. Suppress all SSP requests.
  26. <li><INPUT TYPE=RADIO NAME="no_ssp" VALUE="11" $no_ssp_int ><STRONG>Suppress Executable Keyphrases:</STRONG>:
  27. Suppress executable keyphrases, but allow CGI-BIN and SRE-Filter 
  28. add-on processing.
  29. <LI><INPUT TYPE=RADIO NAME="no_ssp" VALUE="0" $no_ssp_no ><STRONG>NO</STRONG>:
  30. Do <b>not</b> suppress server side processing.
  31. </menu>
  32. <INPUT TYPE="submit" VALUE="Update this Parameter">
  33.  
  34. </FORM>
  35.  
  36. $cancel
  37.  
  38. <hr>
  39. <h2> Notes </h2>
  40.  
  41. Although the use of <em>Server Side Includes</em> (SSIs) provide a convenient mechanism
  42. for creating <em>dynamic</em> documents, you may wish to limit their availability.
  43. In particular, processing of SSIs will impact system response time. Hence
  44. if you <b>never</b> plan on using SSIs, it's a good idea to tell SRE-Filter
  45. not to bother checking for them!
  46. <P>
  47. <EM>Server Side Processing</EM> (SSPs) can greatly extend the 
  48. capabilties of your web site.
  49. In particular, some form of SSP is involved whenever an HTML <FORM>is
  50. used. Unfortunately, the improper use of SSP can cause big security problems, especially if
  51. you allow users to post their own programs.
  52.  
  53. <h3> Suppressing Executable Keyphrases </h3>
  54. The <b>Suppress executable keyphrases</b> option is a less stringent version of SSP suppression.
  55.  -- it only applies
  56. to the SELECT and INTERPRET CODE "server side include" keyphrases.
  57. <blockquote><em>
  58.     CGI-BIN scripts, INTERPRET FILE keyphrases, and SRE-Filter add-ons
  59.       <b>will</b> be processed </em>
  60.  </blockquote>
  61.  
  62. The idea is that users of your site will not be able to cause trouble
  63. by including ill-mannered code into their HTML documents. 
  64. <BR> In other words:
  65. <ol><LI> If  site administrators do <b>not want to review</b> HTML documents
  66.             posted on their site (say, by students)
  67.    <LI>Site adminstrators <STRONG>will review</STRONG>  CGI-BIN scripts, etc. that users
  68.              wish to place on the server.
  69. <LI>Site administrators <b>do</b> want to grant SSP and SSI to users.
  70.    <P>
  71. </ol>
  72.  <STRONG>Then</STRONG>, a reasonable level of security,
  73.       without too harshly limiting
  74.       flexibility,  can be achieved by using the enabling the
  75. <STRONG>suppress executable keyphrases</STRONG> option.
  76. </ol>
  77.  <BR>
  78.  
  79. <h3>More Notes ...</h3>
  80. <ul>
  81.  
  82. <LI>Examples of <EM>Server Side Processing</EM> include execution of CGI-Bin scripts,
  83. and execution of SRE-Filter add-on (such as the DOSEARCH text-file search engine,
  84. or the BBS bulletin board system).  In addition, SSPs can be invoked using
  85. several SSI keyphrases; such as <!-- INTERPRET FILE -->
  86. and <!-- #Exec cmd= -->.
  87.  
  88.  
  89. <LI>When you suppress server side processing, requests 
  90. for server side processing will cause
  91.      a <TT>401 Unauthorized</TT> message to be returned to the client.
  92.  
  93. <LI> A less stringent alternative to suppression of server side includes
  94. is to use the <A HREF="/srefconf?show=ssi_shtml_only"> Server side includes on <EM>SHTML</EM> files only</A>
  95. option.
  96. <LI>You can use the
  97. <A HREF="/config2.htm#accessfile">Modify SEL-Specific Access Control</A> option (in the
  98. intermediate configurator)  to suppress server side processing and server side includes
  99. on a SEL-specific basis.
  100. </ul>
  101.  
  102.  
  103.