mod_perl ist, wenn der Apache mit Suexec übersetzt wurde, an den User und die Gruppe gebunden.
Mußte leider diese Erfahrung erst vor kurzem machen.
Also laut mehreren Fachbüchern (zb.Lars Eilebrecht, der Apache Webserver) besteht null Risiko, wenn man Suexec dazu einsetzt.
Ganz im Gegenteil, bei mir wollte es durch Suexec überhaupt nicht laufen, da das Script von mehreren Accounts (Unterschiedliche UID) genutzt werden sollte.
Mußte mich ein wenig mit den Programmierern von ("Kaffee&Kuchen",
http://java.seite.net), Javascript ("Kakao&Kekse",
http://javascript.seite.net) und Dynamic HTML ("Milch&Zucker",
http://dhtml.seite.net)
herumschlagen, da die auf mod_perl schwören, und wir gemeinsam für eine dritte Firma Dienstleistungen erbrachten.
Auf den Server laufen mehrere Accounts, Sicherheit wird da mächtig groß geschrieben (gehört einer Bank).
Fazit: Apache-Suexec-mod_perl= Script wird wesentlich schneller abgearbeitet, und eine externe Agentur konnte keine Sicherheitsrisiken finden.
Nocheinmal, nur in Verbindung mit Suexec, ohne dem Wachhund können Aussenstehende auch mit mod_cgi machen was sie wollen (Scripte aufrufen ohne Berechtigung).
Kleine Auswahl von Provider die mod_perl einsetzen, sind auch große Amis dabei
http://perl.apache.org/isp.html
http://perl.apache.org/
Sloter