Witam
Mam szybkie pytanie.
Jeśli wszystkie pliki na serwerze mają rozszerzenie .php lub (jpg/gif/png) . Dodatkowo każde z nich ma prawa ustawione na 644, to czy jest jakaś możliwość że ktoś podejrzy zawartość plików .php lub będzie w stanie je jakoś zmodyfikować?
Wiem że standardowe zabezpieczenie serwera temu zapobiegają, ale chyba nie ma jakiś sprytnych sztuczek które pozwalają to obejść np jeśli ma się włączony moduł XXX to się da.
Z góry dziękuje Pozdrawiam
Pełna wersja: Bezpieczeństwo plików na serwerze
Plików php nie da się podejrzeć gdyż są to skrypt wykonywane po stronie serwera i zanim trafią do przeglądarki są przetwarzane i użytkownik dostaje tylko wynik operacji. Jedyną metodą to zalogowanie się na ftp lub jakiś manager plików na Twoim serwerze.
Cytat
Plików php nie da się podejrzeć gdyż są to skrypt wykonywane po stronie serwera
to wiem, ale czy istnieją jakieś pułapki, które pozwalają to zmienić? nie wiem jakiś moduł ktory koliduje z czymś, albo źle użyta jakaś funkcja (o takich rzeczach jak wczytywanie i wyświetlanie pliku którego nazwa podawana jest z GETa oczywiście wiem i nie trzeba mnie w tej kwestii uświadamiać 
)itp.Chce być po prostu pewny
Cytat(Avatarus @ 5.02.2008, 23:38:55 ) 
Chce być po prostu pewny
Pewności nigdy nie będziesz mieć. Zawsze może się okazać, że w serwerze jest jakaś dziura, która pozwala komuś na nieautoryzowany dostęp. Pliki php to tylko jeden z wielu problemów jakie mogą się pojawić.
Ponadto zauważ, że dajesz prawa 644 dla plików, czyli: odczyt/zapis dla właściciela oraz odczyt dla każdego. Oznacza to, że jeżeli z serwera korzysta więcej osób, to mogą one sobie podejrzeć zawartość twoich plików.
Gree to jak tz ustawiasz prawa na serwerze? Ja np używam serwera Home....
Myślę, że wystarczy odczyt/zapis dla właściciela. Ewentualnie dla grupy apacha - zależy jak to masz skonfigurowane.
Jeśli masz jakiś katalog upload to inne prawa (odczyt/zapis dla właściciela i innych userów).
A przy okazji podglądnięcia kodu. Spotkałem się kilka razy z taką sytuacją (2 serwisy były w asp/asp.net, pozostałe w php), że podczas ładowania strony na sekundę zobaczyłem kawałek kodu i po chwili strona się załadowała cała - jakby nastąpiło przeładowanie. Nigdy nie starałem się dochodzić do tego, dlaczego tak się dzieje. Dodam, ze pojawiało się to sporadycznie. Może przeciążenie serwera... Jedno wspólna rzecz dla tych sytuacji to wolne ładowanie strony.
Pozdrawiam
Jeśli masz jakiś katalog upload to inne prawa (odczyt/zapis dla właściciela i innych userów).
A przy okazji podglądnięcia kodu. Spotkałem się kilka razy z taką sytuacją (2 serwisy były w asp/asp.net, pozostałe w php), że podczas ładowania strony na sekundę zobaczyłem kawałek kodu i po chwili strona się załadowała cała - jakby nastąpiło przeładowanie. Nigdy nie starałem się dochodzić do tego, dlaczego tak się dzieje. Dodam, ze pojawiało się to sporadycznie. Może przeciążenie serwera... Jedno wspólna rzecz dla tych sytuacji to wolne ładowanie strony.
Pozdrawiam
Cytat(Avatarus @ 6.02.2008, 09:04:47 )
Gree to jak tz ustawiasz prawa na serwerze? Ja np używam serwera Home....
Dla plików php najlepiej 600, albo 700, zależy od serwera. Dla pozostałych pewnie musi być przynajmniej 644, inaczej nie będą widoczne. Nie mam serwera na home, więc nie wiem dokładnie jakie tam są ustawienia.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.