Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Anonymous_ | E-mail9.4.2007 21:33
nice clanek
to Emkei: setkal jsem se s jednim hostingem co mel vypnuty vsechny ERR message a WARNINGy, skripty jsem si odladil na localu, ale co nikdo nechtel, hosting mel jinej conf... Takze zjistovat proc skripty nefachaji je fakt peklo. Souhlasim, ze neco takoveho muze udelat jen ignorant a ze na normalnich serverech tohle nenajdes...

to \: hele kdyz ses takovej borec (nic takovyho netvrdim o sobe), tak sem hod nejakej dobrej clanek, kde bude kritika jen dobra, prtze lepsi clanek svet nevidel... Jinak shazovat chytreho cloveka (IMHO) jako je Emkei, to moc daleko nedojdes - jinak ten muj akronym si taky muzes vyhledat na netu. P.S.: nic proti tobe osobne, jen me dostaly ty tvoje komentare...

----------
Cow power by Gentoo...
\ | 128.2.141.*9.4.2007 21:17
Emkei: 1) ty mi chces tedy tvrdit, ze pokud mam v umyslu vyuzivat jeden z tebou zminenych "kvalitnich" serveru, musim na svem localhostu rozchodit apache, nejprve odladit sve scripty a doufat ve stejnou konfiguraci serveru, jakou ma muj webhosting?!

2) pokud se nahodou prepisi v jedne uvozovce, tak musim diky teto "genialni" bezpecnostni politice prochazet radek od radku sveho kodu, jen abych nasel chybu, protoze mi ji jednoduse compiler neprozradi?!

3) za cloveka znaleho v oblasti pocitacove bezpecnosti se rozhodne povazuji

1 -> to nikdo netvrdi, mas bujnou fantasii. Je ve tvem vlastnim zajmu, abys takto postupovat.

2 -> pokud jsi prase a sve skripty davas do ostreho provozu neodladene, tak ano - budes muset zmenit svuj iracionalni pristup vuci programovani.

3 -> LMAO (pokud bys nevedel co tento akronym znamena, pouzij google a wiki, google je tvuj kamarad)

Odkazy na clanky o PHP / SQL "hackingu", psane 16-ti letymi vyhledej pomoci *GOOGLU*
Emkei | E-mail | Website | PGP9.4.2007 18:06
2FantomasS: jakekoliv kopirovani scriptu pres fci copy() zpusobi jeho vytvoreni s pravy serveru, ani tato nadstavba tedy zminenemu utoku nezabrani.
2\:ty mi chces tedy tvrdit, ze pokud mam v umyslu vyuzivat jeden z tebou zminenych "kvalitnich" serveru, musim na svem localhostu rozchodit apache, nejprve odladit sve scripty a doufat ve stejnou konfiguraci serveru, jakou ma muj webhosting?! =) to myslis vazne?! pokud se nahodou prepisi v jedne uvozovce, tak musim diky teto "genialni" bezpecnostni politice prochazet radek od radku sveho kodu, jen abych nasel chybu, protoze mi ji jednoduse compiler neprozradi?! ty tomuto reseni rikas kvalitni?! ja to povazuji za demenci nejvyssiho stupne a na normalnim webhostingu by jsi s tim v zivote neuspel (asi proto to zadny z normalnich webhostingu nepraktikuje).
za cloveka znaleho v oblasti pocitacove bezpecnosti se rozhodne povazuji, karma je posledni vec, co me zajima a mam jednu vynikajici vlastnost, ktere si cenim, a sice, je mi jedno, co si o mne nebo mych clancich lide mysli. jen tak pro zajimavost, byl bys tak hodny a hodil mi sem odkaz na clanek libovolneho 16leteho skolaka, ktery o zminene problematice bezne pise, kdyz uz jsou moje clanky takovej bullshit?
\ | 219.192.58.*9.4.2007 1:17
omlouvam se za preklepy, je uz ctvrt na dve. (mohly; znechucene; Servery, kde; nemusel hledat ja)
\ | 219.192.58.*9.4.2007 1:13
Emkei: mylis se, naprosto standardni soucast hardeningu serveru je odriznuti vsech potencionalnich utocniku od informaci, ktere by jim mohli napomoci napriklad k podobnym utokum, jake popisujes. Soucasti kazdeho utoku je ziskavani informaci o vzdalenem stroji, odriznu-li te od techto informaci, nebudes mit zadnou sanci, krome utoku "na slepo", pomoci kterych po nekolika hodinach / dnech ci tydnech znechycene zacnes vyhledavat jine potencionalni obeti.

Servery kde pocita se s tim, ze na nich pobezi jiz odladene aplikace by *nemely* chybova techto aplikaci zobrazovat, to se pise ve vsech hodnotnych priruckach venujicich se PHP / Apache / SQL hardeningu a ty, jakozto clovek rozumny a bezpecnosti znaly bys mel pouzit google a dohledat si, abych za tebe hledat ja [link] Tva karma se regulerne zvysuje, lze totez rici i o tve urovni? Nezlob se na mne, ale clanek je pekne slaby, stejne jako ten o PHP injection. Dnes o tom bezne pisi 16-ti leti skolaci.
FantomasS | E-mail9.4.2007 1:05
Emkei: Nevim, jak presne pracuje safemod, ale suPHP umi nastavit jakehokoliv uzivatele, nejenom toho, ktery soubor vytvoril ... Imho, pokud se script nepusti pod www-data, nebo tak, tak je to obrana ...
Emkei | E-mail | Website | PGP8.4.2007 23:30
2FantomasS: jestli jsem to spravne pochopil, tak suPHP dela to same, jako safe_mode, tedy spousti scripty pod pravy tech, kteri je vytvorili (suPHP is a tool for executing PHP scripts with the permissions of their owners). nikdy jsem se primo s touto nadstavbou nesetkal, takze bez prezkouseni to tvrdit jiste nemohu, ale imho tomuto utoku nezabrani (pokud opravdu funguje na stejnem principu, jako safe_mode).
2\: plosne zakazani vypisu chybovych hlaseni povazujes za kvalitni reseni? umis si predstavit, co by to zpusobilo na webhostingu?! tohle muze s prominutim udelat jen idiot. muzes mi pls poslat link na nejaky z takovych "kvalitnich produkcnich" serveru?
2eee: tento postup lze pouzit kdekoliv, kde neni zakazana fce glob()
2Harvie: vyraz metaznaky je v cesku pro tyto zastupne symboly pomerne zazit a jelikoz se pro ne hojne vyuziva i v anglicke terminologii, pouzivam jej i ja.
eee | 87.197.179.*8.4.2007 22:22
chyba mi tam nejaky priklad... moze to ho nekde spravit prosim?
cz0 | 213.19.63.*8.4.2007 21:51
No, po dlouhe dobe na Soomu dalsi opravdu Kvalitni (to velky k je tam nascvhal) clanek. Diky ;+]
Harvie | E-mail | Website | ICQ 2837829788.4.2007 20:18
eee: Muzes vygenerovat chybove hlaseni zadanim neplatneho vstupu.

Emkei: Malá lingvistická vsuvka =): * a ? nejsou metaznaky (slovo meta se většinou používá pro něco, co není vidět), tyto se spíše označují jako "zástupné znaky" (případně tzv. hvězdičková notace).

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

Stránky: 1 2 3 4
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | OTg3Z