Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
v6ak | E-mail | Website22.4.2010 18:17
* decompiler: V Java bytecode jde hlavně o převod z postfixu do infixu a detekci while, if, for, (...) ze skoků. PHP bytecode vypadal podobně. Momentálně pro jeho tvorbu nemám dostatečnou motivaci, ale neměl by to být problém. Skoky jsou z toho nejtěžší, převod do infixu je vyloženě triviální. (Dobře, v Javě to trošku zesložiťují instrukce jako DUP [link] , ale i s tím se dá si celkem dobře poradit.) Navíc napsat testy je vyloženě triviální - vezmu tunu PHP kódu (open-source projekty...), kompilace, dekompilace, kompilace, porovnání původní a nové zkompilované formy.
* ankety/fóra: Je to otázka bezpečnostní politiky, ale pokud vynechám akci přes GET ověřenou přes referer a ověřím adresu obrázku (kvůli "javascript:" apod., ale whitelistem), pak v tom nevidím jakýkoli bezpečnostní problém. Samozřejmě, Tvůj přístup je také správný, hlavně je důležité tyto dva přístupy nekombinovat. Proti akcím přes GET ale hovoří i jiné faktory (např. filozofie HTTP a vyhledávače).
* k include: dobře, lomítka jsou, je-li zakázána tečka a je-li na začátek něco rozumného (např. "./") přidáno, přijatelná. Ale whitelist by měl jít rozumně aplikovat i na Soomu - jen by to nebyl whitelist různých řetězců, ale znaků, ze kterých se může takový řetězec skládat.
* messaging system: K tomu mě momentálně nenapadla vhodná klíčová slova (kromě Emkei, které je ale příliš obecné). Použití slov messaging system nebylo úspěšné. Teď to hledat nebudu.
Emkei | E-mail | Website | PGP21.4.2010 23:06
v6ak:
# ad decompiler: pokud se rozhodnes nejaky vytvorit, budu jen rad, dosud ale zadny neexistuje, neni tedy duvod bezpecnost zalozenou na kompilaci zdrojovych kodu jakkoli zlehcovat (vytvorit jej rozhodne neni banalita).
# ad ankety: pokud spravce povoli uzivatelum vkladat do fora obrazky bez uploadu a tedy patricne kontroly (coz povazuji z pohledu bezpecnosti za neprilis stastne reseni), pak samozrejme musi pocitat s rizikem, ktere jsi popsal.
# ad SbO: vetsina soucasnych webovych aplikaci nedisponuje zadnymi bezpecnostnimi prvky, i kdyby obsahovaly ciste uvedene mechanismy spadajici do SbO, povazoval bych to za uspech.
# ad include: zakazat ciste dvojtecku je dobry napad, do clanku jsem ji doplnil. co se tyce lomitek, tak ty omezovat u vetsich systemu nemuzes, mit vsechny includovane soubory v jedinem adresari by zapricinilo chaos, proto je obvykle (stejne jako zde na SOOM.cz) povoleno includovat hlubsi struktury adresaru a nelze nasadit ciste whitelisting (kvuli adresarum, kam smeruje upload).
# ad messaging system: k tomu uz jsem se vyjadroval nescetnekrat jak zde na SOOM.cz, tak na jinych serverech (BH.sk), urcite si to dokazes dohledat.

grey:
SbO = Security by Obscurity, viz [link]
grey | E-mail21.4.2010 20:08
když už jsme u toho, co je to sbo?
v6ak | E-mail | Website21.4.2010 11:53
Ještě jedna poznámka k zabezpečení, teď již bez bližšího komentáře: [link]
v6ak | E-mail | Website21.4.2010 11:50
Emkei:
* K decompileru: Mělo by to být jednodušší než compiler. Stačí dostatečná motivace a byl by na světě...
* Představ si GET anketu jen s kontrolou refereru a s diskuzním fórem na stejné doméně. Na fórum by pak stačilo (třeba do podpisu) vložit jeden obrázek...
* Proti použití SbO v zásadě nejsem, ale mělo by to pak sloužit pouze jako záchranná síť. Obecně si myslím, že v takovém případě by to mělo být v článku jasně uvedeno.

Ještě jedna poznámka k include:
* preferoval bych whitelist znaků
* i samotnou dvojtečku bych zakázal, pokud k tomu není přidáváno "./" (kvůli data:)
* v případě nepovolení /, \ (Windows) apod. není důležité chránit speciální soubory jako /proc/self/environ
Emkei | E-mail | Website | PGP20.4.2010 7:48
hilke: s deaktivovanim short_open_tag jsem se jiz v praxi setkal, s vypnutim parsovani PHP nikoliv, proto to v clanku zaznelo a XML tudiz neni jedinym duvodem, proc nepouzivat shorttagy...
hilke | 89.103.111.*20.4.2010 7:28
Teď jsem si všiml že to píše i DJWyn.
hilke | 89.103.111.*20.4.2010 7:15
> útočník na kompromitovaném serveru deaktivuje direktivu short_open_tag v php.ini
To už rovnou může vypnout parsování php a ani <?php vám nepomůže.
Jediný důvod proč nepoužívat shorttagy je kvůli konfliktu s XML.
3p1demicz | 83.240.27.*19.4.2010 11:26
článek dobrej, ale z toho prvního obrázku z filmu hackers nemůžu :D
Emkei | E-mail | Website | PGP18.4.2010 1:55
DJVyn: to ano, ale .htaccess by musel vlozit do rootu kazdeho webu, php.ini byva obvykle na freehostingu sdilene pro vsechny a individualni direktivy se upravuji pres VirtualHost, je v tom tedy zasadni rozdil.

Stránky: 1 2 3 4
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | YzVhZm