![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 29 Pomógł: 0 Dołączył: 20.11.2004 Ostrzeżenie: (0%) ![]() ![]() |
Stworzyłem witrynę w całości opartą na zapisywaniu i odczytywaniu danych z plików textowych (bez bazy danych, takie bylo założenie). Pliki te są w jednym katalogu, który ma prawa dostępu ustawione na chmod 777.
Jest to bardzo niebezpieczne, poniewaz kazdy teoretycznie bedzie mial dostep do nich jesli pozna ich nazwy i nazwe katalogu w ktorym sie znajduja. Czy jest możliwość zabezpieczenia tych plików tak by operacje na nich (odczyt, zapis) były możliwe jedynie z poziomu skryptów przez mnie napisanych (po pomyslnym przejsciu przez proces autoryzacji). Innymi słowy chciałbym zapobiec sytuacji by ktoś ominął mój panel logowania i wpisując dokładną ścieżkę do pliku (w przeglądarce lub ftp'ie) uzyskał do nich bezpośredni dostęp. Z góry dzięki za pomoc. |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Przyjaciele php.pl Postów: 1 717 Pomógł: 0 Dołączył: 12.06.2002 Skąd: Wolsztyn..... Studia: Zielona Góra Ostrzeżenie: (0%) ![]() ![]() |
Stanowi, tylko troche mniejsza. Wykorzystac ja moga tylko osoby posiadajace konto na tym samym serwerze co Ty.
Tak wiec po pierwsze usun prawa odczytu dla grupy oraz others (i dodatkowo prawa do przeszukiwania dla grupy) ze swojego katalogu domowego, aby nikt z tego serwera nie mogl wejsc do Twojego katalogu domowego i podejrzec co tam masz za pliki. To jednak nie jest wystarczajace, poniewaz jesli bedzie znal pelna sciezke do katalogu, w ktorym masz prawa 777 to, mimo braku praw do Twojego katalogu domowego, bedzie mogl wejsc do tego katalogu z 777 i porobic w nim bajzel. Dlatego tez dawanie 777 czemukolwiek nie jest dobrym pomyslem. Skrypt i tak pracuje (w zdecydowanej wiekszosci przypadkow) pod uzytkownikiem serwera www, czyli jemu potrzebne sa tylko prawa dla Others.. Zatem mozesz dac prawa 707 i bedzie wilk syty i owca cała. Jednak to tez nie daje 100% bezpieczenstwa, poniewaz jak ktos zna dokladna sciezke tego katalogu (mniejsza z tym jak ja poznal.. mogl byc np. blad w skrypcie, ktory przez przypadek ja wyswietlil..) to moze napisac skrypt php, ktory wylistuje mu caly ten katalog oraz umozliwi dowolne operacje na plikach znajdujacych sie w nim. Co prawda zaweza sie w ten sposob znacznie grono osob mogacych namieszac, ale jednak mozliwosc taka jest.. Jak ktos wie jak zapobiec rowniez temu (zakladajac ze nie mamy mozliwosci ingerencji w php.ini) to chetnie sie dowiem. Nie mam az takiej wiedzy o systemach unixowych, to powyzsze udalo mi sie wywnioskowac samemu, ale z tym ostatnim problemem sobie do tej pory nie poradzilem. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 11:12 |